Esta versión del Netsky fue reportada en las primeras horas del 22 de marzo de 2004. Algunos antivirus la detectan como la variante "Q". El texto de los mensajes simula haber sido examinado por diferentes antivirus, seleccionados al azar. Se propaga por correo electrónico y programas P2P. En el primer caso utiliza diversos asuntos y los archivos adjuntos pueden tener extensiones .PIF, .EXE, .SCR o .ZIP, y también agregar una doble extensión. Se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o al verlo en la vista previa.
El gusano es un archivo de 29,568 bytes, que luego libera un DLL de 26,624 bytes.
Puede llegar en un mensaje como el siguiente:
De: [remitente falso]
Cualquier dirección de las obtenidas por el gusano en la máquina infectada.
Asunto: [uno de los siguientes]
approved
corrected
hello
here
hi
important
improved
patched
Re: Administration
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re: Encrypted Mail
Re: Error
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re: Mail Authentification
Re: Mail Server
Re: Message Error
Re: Notify
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re: Secure delivery
Re: Secure SMTP Message
Re: SMTP Server
Re: Status
Re: Test
Re: Thank you for delivery
read it immediately
thanks!
Algunos de estos asuntos agregan un "Re:" al comienzo (aún los que ya lo tienen). Ejemplos:
Re: Re: Notify
Re: corrected
Texto del mensaje: [1]+[2]+[3]
Donde [1] es uno de los siguientes elementos:
Bad Gateway: The message has been attached.- Delivered message is attached.
- Encrypted message is available.
- ESMTP [Secure Mail System #334]: Secure message is attached.
- First part of the secure mail is available.
- Follow the instructions t read the message.
- For further details see the attachment.
- For more details see the attachment.
- Forwarded message is available.
- New message is available.
- Now a new message is available.
- Partial message is available. Waiting for a Response. Please read the attachment.
- Please authenticate the secure message.
- Please confirm my request.
- Please read the attachment t get the message.
- Protected Mail System Test.
- Protected message is attached.
- Protected message is available.
- Secure Mail System Beta Test.
- SMTP: Please confirm the attached message.
- Waiting for authentification.
- You got a new message.
- You have received an extended message. Please read the instructions.
- Your requested mail has been attached.
[2] es uno de los siguientes textos:
- Authentication required.
- I have attached your document.
- I have received your document. The corrected document is attached.
- Please confirm the document.
- Please read the attached file!
- Please read the document.
- Please read the important document.
- Please see the attached file for details.
- Requested file.
- See the file.
- Your details.
- Your document is attached t this mail.
- Your document is attached.
- Your document.
- Your file is attached.
Y [3] es uno de los siguientes elementos:
+++ Attachment: N Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: N Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: N Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: N Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: N Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: N Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: N Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: N Virus found
++++ Norton AntiVirus - www.symantec.de
Datos adjuntos: [varios nombres]
Ejemplos de algunos nombres de adjuntos:
data
details
document
message
msg
readme
En ocasiones agrega el nombre de usuario del correo electrónico al que se envía, separado por el carácter "_". Por ejemplo, si la dirección es juan@dominio.com, el adjunto podría tener uno de estos nombres:
data_juan
details_juan
document_juan
message_juan
msg_juan
readme_juan
Con algunas de estas extensiones:
.doc [muchos espacios].exe
.doc [muchos espacios].pif
.doc [muchos espacios].scr
.doc.exe
.doc.pif
.doc.scr
.exe
.pif
.scr
.txt [muchos espacios].exe
.txt [muchos espacios].pif
.txt [muchos espacios].scr
.txt.exe
.txt.pif
.txt.scr
.zip
Donde [muchos espacios] son de 60 a 80 espacios en blanco. Ejemplos de nombres de adjuntos (con el usuario juan@dominio.com):
details.doc .scr
msg_juan.scr
readme.txt.exe
data.txt .pif
Cuando el adjunto tiene extensión .ZIP, su contenido será uno de los siguientes:
data.rtf [muchos espacios].scr
details.txt [muchos espacios].pif
document.txt [muchos espacios].exe
El gusano se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o verlo en la vista previa (MIME header vulnerability). Verhttp://www.microsoft.com/technet/security/bulletin/MS01-020.mspx. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll
El .EXE llama al archivo .DLL (que incluye una sola función), y lo ejecuta.
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Norton Antivirus AV = c:\windows\fvprotect.exe
HKLM\System\CurrentControlSet\Services\NPF
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_NPF
Acciones:
Para propagarse, el gusano busca direcciones de correo en todas las unidades de disco disponibles (excepto unidades de CD), dentro de archivos con las siguientes extensiones:
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Cuando detecta una conexión a Internet establecida, el gusano comienza a enviarse a si mismo a todas las direcciones encontradas, en mensajes como los ya descriptos. Utiliza su propio motor SMTP y realiza consultas al servidor DNS de la instalación actual del usuario infectado.
Evita enviarse a direcciones que contengan estas cadenas:
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
El gusano también examina el sistema en busca de carpetas compartidas por utilidades de intercambio de archivos entre usuarios, como KaZaa y otras. Clasifica de ese modo a todas las carpetas cuyos nombres incluyan alguna de estas cadenas:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload
En cada una de las carpetas cuyo nombre contenga algunas de esas cadenas, creará una copia de si mismo con los siguientes nombres:
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe
El gusano intenta borrar las entradas en el registro de otros gusanos.
Forma de eliminar:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
2. Elimine bajo la columna "Nombre", la entrada "Norton Antivirus AV" en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
3. Elimine las carpetas "NPF" y "LEGACY_NPF" de las siguientes entradas del registro:
HKLM\System\CurrentControlSet
\Services\NPF
HKLM\System\CurrentControlSet
\Enum\Root\LEGACY_NPF
4. Cierre el editor del registro.
5. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
No hay comentarios:
Publicar un comentario