NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Propagación Media de nueva variante de virus w32/NetSky que propaga a través de correo electrónico y P2P.

 

Nombre de virus: W32/NetSky.p@MM
Alias conocidos: W32.Netsky.Q@mm, WORM_NETSKY.P
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y peer-to-peer
Activación: Por ejecución de fichero EXE
Detección: desde DATS 4341
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)

Se trata de una nueva variante de W32/Netsky@MM, la cual se propaga principalmente por email, al igual que sus predecesoras. El componente principal tiene un tamaño de 29.568 bytes, empaquetado en FSG.

Cuando se ejecuta, el gusano realiza una copia de sí mismo en el directorio Windows como:

  • FVProtect.exe

En el mismo directorio crea los siguientes ficheros:

  • userconfig9x.dll (26.624 bytes)
  • base64.tmp (gusano codificado con UUEncoded)
  • zip1.tmp (archivo zip del gusano codificado con UUEncoded)
  • zip2.tmp (archivo zip del gusano codificado con UUEncoded)
  • zip3.tmp (archivo zip del gusano codificado con UUEncoded)
  • zipped.tmp (gusano en archivo zip)

 

Crea las siguientes claves de registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Norton Antivirus AV" = %WinDir%\FVProtect.exe

donde %WinDir% es el directorio Windows.

 


Propagación por Correo Electrónico

El gusano envía mensajes utilizando SMTP. Los email enviados presentan las siguientes características:

Remitente: (dirección aleatoria obtenida del sistema infectado)
Asunto: (Uno de la siguiente lista)

  • Stolen document
  • Re:Hello
  • Mail Delivery ( failure sender address )
  • Private document
  • Re:Notify
  • Re:document
  • Re:Extended Mail System
  • Re:Proctected Mail System
  • Re:Question
  • Private document
  • Postcard

 

Mensaje: (Uno de la siguiente lista)

  • I found this document about you.
  • I have attached it to this mail.
  • Waiting for authentification.
  • Please confirm!
  • Protected message is available
  • Do not visit this illegal websites!
  • Here is my phone number.
  • I cannot believe that.
  • Your file is attached.
  • For further details see that attachment.
  • Congratulations!, your best friend.
  • Greetings from france, your friend.
  • If the message will not displayed automatically, follow the link to read the delivered message.
    Received message is available at:
    (enlace web falseado. )

 

El gusano intenta explotar la vulnerabilidad Incorrect MIME Header Can Cause IE to Execute E-mail Attachment de Microsoft Internet Explorer (ver 5.01 o 5.5 sin SP2), para ejecutar automáticamente el virus en sistemas vulnerables.

 

Adjunto: (uno de los siguientes)

  • websites(número aleatorio).zip
  • document(número aleatorio).zip
  • your_document.zip
  • part(número aleatorio).zip
  • message.doc.scr
  • message.zip
  • document.zip
  • old_photos.txt.pif
  • postcard_.( número aleatorio)..zip
  • details(número aleatorio).zip

 

Donde .zip file es el gusano dentro de un fichero zip.

El componente de mailing recopila direcciones del sistema local, dentro de ficheros con las siguientes extensiones:

  • .xml
  • .wsh
  • .jsp
  • .msg
  • .oft
  • .sht
  • .dbx
  • .tbb
  • .adb
  • .dhtm
  • .cgi
  • .shtm
  • .uin
  • .rtf
  • .vbs
  • .doc
  • .wab
  • .asp
  • .php
  • .txt
  • .eml
  • .html
  • .htm
  • .pl

 

El virus envía mensajes de correo, que construye mediante su propio motor SMTP. No enviará mensajes a direcciones que contengan las siguientes cadenas:

  • reports@
  • spam@
  • noreply@
  • @viruslis
  • ntivir
  • @sophos
  • @freeav
  • @pandasof
  • @skynet
  • @messagel
  • abuse@
  • @fbi
  • @norton
  • @f-pro
  • @kaspersky
  • @mcafee
  • @norman
  • @bitdefender
  • @f-secur
  • @avp
  • @spam
  • @symantec
  • @antivi
  • @microsof

 

Propagación por P2P

El gusano busca directorios con las siguientes cadenas:

  • shared files
  • kazaa
  • mule
  • donkey
  • morpheus
  • lime
  • bear
  • icq
  • shar
  • upload
  • http
  • htdocs
  • ftp
  • download
  • my shared folder

En los directorios anteriores se copia utilizando diferentes nombres de fichero:

  • 1001 Sex and more.rtf.exe
  • 3D Studio Max 6 3dsmax.exe
  • ACDSee 10.exe
  • Adobe Photoshop 10 crack.exe
  • Adobe Photoshop 10 full.exe
  • Adobe Premiere 10.exe
  • Ahead Nero 8.exe
  • Altkins Diet.doc.exe
  • American Idol.doc.exe
  • Arnold Schwarzenegger.jpg.exe
  • Best Matrix Screensaver new.scr
  • Britney sex xxx.jpg.exe
  • Britney Spears and Eminem porn.jpg.exe
  • Britney Spears blowjob.jpg.exe
  • Britney Spears cumshot.jpg.exe
  • Britney Spears fuck.jpg.exe
  • Britney Spears full album.mp3.exe
  • Britney Spears porn.jpg.exe
  • Britney Spears Sexy archive.doc.exe
  • Britney Spears Song text archive.doc.exe
  • Britney Spears.jpg.exe
  • Britney Spears.mp3.exe
  • Clone DVD 6.exe
  • Cloning.doc.exe
  • Cracks & Warez Archiv.exe
  • Dark Angels new.pif
  • Dictionary English 2004 - France.doc.exe
  • DivX 8.0 final.exe
  • Doom 3 release 2.exe
  • E-Book Archive2.rtf.exe
  • Eminem blowjob.jpg.exe
  • Eminem full album.mp3.exe
  • Eminem Poster.jpg.exe
  • Eminem sex xxx.jpg.exe
  • Eminem Sexy archive.doc.exe
  • Eminem Song text archive.doc.exe
  • Eminem Spears porn.jpg.exe
  • Eminem.mp3.exe
  • Full album all.mp3.pif
  • Gimp 1.8 Full with Key.exe
  • Harry Potter 1-6 book.txt.exe
  • Harry Potter 5.mpg.exe
  • Harry Potter all e.book.doc.exe
  • Harry Potter e book.doc.exe
  • Harry Potter game.exe
  • Harry Potter.doc.exe
  • How to hack new.doc.exe
  • Internet Explorer 9 setup.exe
  • Kazaa Lite 4.0 new.exe
  • Kazaa new.exe
  • Keygen 4 all new.exe
  • Learn Programming 2004.doc.exe
  • Lightwave 9 Update.exe
  • Magix

 

Detección y eliminación

El gusano se controla desde los DAT 4341 , para su eliminación se recomienda ejecutar nuestra utilidad ELINETSA.

SATINFO, VIRUSCAN SPAIN SERVICE 23 de Marzo de 2004

Anterior