SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Propagación Media de gusano que se distribuye por email y unidades mapeadas de red
Nombre de virus: W32/NetSky.b@MM
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y unidades mapeadas
Activación: Por
ejecución de fichero ejecutable .EXE, .PIF, .SCR
Detección: desde
DATS 4325
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)
Este virus propaga a través de correo electrónico y unidades mapeadas. Se envía a todas las direcciones que encuentra en el equipo infectado, haciendo una copia de sí mismo a carpetas en unidades C: - Z:.
Propagación por Correo Electrónico
El virus puede recibirse en un mensaje de email con el asunto y cuerpo de mensaje
compuestos por las siguientes cadenas:
· I have your password!
· about me
· anything ok?
· do you?
· from the chatter
· greetings
· hello
· here
· here is the document.
· here it is
· here, the cheats
· here, the introduction
· here, the serials
· hi
· i found this document about you
· i hope it is not true!
· i wait for a reply!
· i'm waiting
· information about you
· is that from you?
· is that true?
· is that your account?
· is that your name?
· kill the writer of this document!
· my hero
· ok
· read it immediately!
· read the details.
· reply
· see you
· something about you!
· something is fool
· something is going wrong
· something is going wrong!
· stuff about you?
· take it easy
· that is bad
· that's funny
· thats wrong why?
· what does it mean?
· yes, really?
· you are a bad writer
· you are bad
· you earn money
· you feel the same
· you try to steal
· your name is wrong
El adjunto puede tener doble extensión, tal como .rtf.pif y puede estar contenido
dentro de un archivo .ZIP.
El componente de mailing recopila direcciones del sistema local, desde ficheros con las
siguientes extensiones:
· .msg
· .oft
· .sht
· .dbx
· .tbb
· .adb
· .doc
· .wab
· .asp
· .uin
· .rtf
· .vbs
· .html
· .htm
· .pl
· .php
· .txt
· .eml
Una vez se ejecuta, visualiza un mensaje de error
falso:
El gusano se copia en la carpeta %windir% con el nombre SERVICES.EXE. Añade una clave de
registro para activarse al inicio del sistema.
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "service" = C:\WINNT\services.exe -serv
Propagación por Red
El gusano se copia a varios directorios del sistema local así como en unidades de red
mapeadas. Los nombre de ficheros son incluidos en el gusano y escogidos aleatoriamente:
· doom2.doc.pif
· sex sex sex sex.doc.exe
· rfc compilation.doc.exe
· dictionary.doc.exe
· win longhorn.doc.exe
· e.book.doc.exe
· programming basics.doc.exe
· how to hack.doc.exe
· max payne 2.crack.exe
· e-book.archive.doc.exe
· virii.scr
· nero.7.exe
· eminem - lick my pussy.mp3.pif
· cool screensaver.scr
· serial.txt.exe
· office_crack.exe
· hardcore porn.jpg.exe
· angels.pif
· porno.scr
· matrix.scr
· photoshop 9 crack.exe
· strippoker.exe
· winxp_crack.exe
· dolly_buster.jpg.pif
El gusano también genera numerosos archivos ZIP (también en la unidad local) conteniendo dentro un fichero de 22.016 bytes (generalmente con doble extensión, como .doc.pif, .rtf.com, .rtf.scr).
· aboutyou.zip
· attachment.zip
· bill.zip
· concert.zip
· creditcard.zip
· details.zip
· dinner.zip
· disco.zip
· final.zip
· found.zip
· friend.zip
· jokes.zip
· location.zip
· mail2.zip
· mails.zip
· me.zip
· message.zip
· misc.zip
· msg.zip
· nomoney.zip
· note.zip
· object.zip
· part2.zip
· party.zip
· posting.zip
· product.zip
· ps.zip
· ranking.zip
· release.zip
· shower.zip
· story.zip
· stuff.zip
· swimmingpool.zip
· talk.zip
· textfile.zip
· topseller.zip
· website.zip
Detección y eliminación
El gusano se controla desde los DAT
4325 , para su eliminación se recomienda ejecutar
nuestra utilidad ELINETSA.
SATINFO, VIRUSCAN SPAIN SERVICE 19 de Febrero de 2004
