ALERTA: gusano Netsky.D, detectada gran propagación en las últimas horas

Según indicadores en tiempo real de Hispasec, ha pasado a ser el gusano

con mayor ratio de propagación a nivel internacional, incluido España

entre otros muchos países. Puede ser fácilmente detectable a simple

vista, ya que se propaga a través de e-mail en un archivo adjunto con

extensión .PIF de unos 17,4KB.

Estamos viviendo en los

últimos días una autentica ola de nuevas versiones de gusanos. A las

cinco nuevas variantes de Bagle distribuidas este fin de semana, hay que

sumarles hoy lunes la aparición en auténtica tromba de la variante

Netsky.D, que a juzgar por los últimos indicadores va camino de liderar

en un tiempo récord el TOP 10 del listado de propagación de virus,

puesto que hasta la fecha ocupaba uno de sus predecesores, Netsky.B.

Todo parece indicar que la ola no cesará en las próximas horas, en el momento

de escribir esta nota ya contamos con nuevas variantes de Netsky, y en

el laboratorio de Hispasec acabamos de detectar una nueva versión de

Bagle no reconocida por los antivirus. Seguiremos informando sobre estos

nuevos especímenes en el caso de que detectemos ratios importantes en su

propagación.

Desde Hispasec recomendamos se extremen las

precauciones con los mensajes de correo electrónico que incluyan

archivos adjuntos, y se configuren las actualizaciones automáticas de

las soluciones antivirus para que se realicen en intervalos de tiempo

más cortos (no basta con actualizar una vez al día).

Los antivirus

En relación a Netsky.D, la amenaza más activa de momento, la reacción de

las casas antivirus en proporcionar la actualización de la firma

específica para que sus clientes pudieran detectarlo, según el sistema

de monitorización 24hx7d del laboratorio de Hispasec, fue la siguiente:

[McAfee] 25.02.2004 19:16:31 :: W32/Netsky.c@MM

[Panda] 01.03.2004 11:52:40

:: W32/Netsky.D.worm

[NOD32] 01.03.2004 12:14:05 :: Win32/Netsky.D

[Sophos] 01.03.2004 12:45:30 :: W32/Netsky-D

[Kaspersky] 01.03.2004

13:01:12 :: I-Worm.NetSky.d

[TrendMicro] 01.03.2004 13:04:26 ::

WORM_NETSKY.D

[Norton] 01/03/2004 15:33:05 :: W32.Netsky.D@mm

Como en ocasiones anteriores, los tiempos mencionados son hora española

(GMT+1).

Destaca que McAfee detectaba a Netsky.D antes de que

apareciera, con la misma firma que incluyó el 25 de febrero para

detectar a su predecesor Netsky.C. En segundo lugar aparece Panda que ha

sido la primera casa en incluir la firma específica para Netsky.D,

mientras que NOD32 que aparece en tercer lugar a la hora de incluir la

firma, en realidad, reconocía a éste espécimen como sospechoso también

antes de que apareciera, a través de la función de heurística avanzada

del monitor residente, que tienen los usuarios de la versión 2.0 del

motor.

En cualquier caso podemos observar la rápida reacción de

todas las casas antivirus, que en apenas unas pocas horas han

desarrollado y distribuido las actualizaciones para neutralizar

Netsky.D, una muestra más de la importancia que ha alcanzado la

propagación de este gusano.

Descripción de Netsky.D

El gusano nos llega en un ejecutable adjunto comprimido con Petite y

extensión .PIF de unos 17KB (17,424 bytes), en un mensaje de correo

electrónico con las siguientes características:

Remitente: [dirección falseada]

Asunto: [Alguno de la siguiente

lista:]

Re: Hello

Re: Hi

Re: Thanks!

Re: Document

Re:

Message

Re: Here

Re: Details

Re: Your details

Re: Approved

Re: Your document

Re: Your text

Re: Excel file

Re: Word file

Re:

My details

Re: Your music

Re: Your bill

Re: Your letter

Re:

Document

Re: Your website

Re: Your product

Re: Your document

Re: Your software

Re: Your archive

Re: Your picture

Re: Here is

the document

Cuerpo del mensaje: [Alguno de la siguiente lista:]

Here is the file.

Your file is attached.

Your document is attached.

Please read the attached file.

Please have a look at the attached

file.

See the attached file for details.

Archivo adjunto:

[Alguno de la siguiente lista:]

yours.pif

your_text.pif

your_bill.pif

mp3music.pif

document.pif

my_details.pif

your_file.pif

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_details.pif

document_word.pif

all_document.pif

application.pif

your_picture.pif

document_excel.pif

document_4351.pif

document_full.pif

message_part2.pif

your_document.pif

message_details.pif

Más características

Cuando se ejecuta el archivo .PIF, el gusano inicia la infección del

sistema, copiándose como WINLOGON.EXE en la carpeta de Windows. A

continuación incluye la siguiente entrada en el registro de Windows para

asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunICQ

Net = %WinDir%WINLOGON.EXE -stealth

(No confundir con el

ejecutable legítimo WINLOGON.EXE que puede encontrarse en la carpeta de

sistema de Windows).

El gusano incluye su propio motor SMTP para

autoenviarse a otras direcciones, que recopila del sistema infectado

buscando en todos los archivos con extensión .adb, .asp, .cgi, .dbx,

.dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb,

.txt, .uin, .vbs y .wab.

Netsky.D evita enviarse a las

direcciones recolectadas que incluyan algunas de las siguientes cadenas:

abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur,

avp, skynet, spam, messagelabs, ymantec, antivi, icrosoft.

Adicionalmente, y como hiciera también su predecesor Netsky.C, borra

varias entradas del registro, de forma que desactiva algunas

aplicaciones de seguridad y otros gusanos en el caso de que se

encontraran instalados en el sistema. También incluye un efecto basado

en emitir sonidos con tonos semialeatorios a través del altavoz del PC

infectado. Más información y ejemplos sobre estas características se

encuentran explicadas en la descripción que ofrecimos sobre Netsky.C: http://www.hispasec.com/unaaldia/1949