Si bien en España, según indicadores de Hispasec, los casos detectados
hasta el momento han sido mínimos, y queda muy lejos de los ratios que
sitúan como gusano más propagado a la variante Netsky.B, de similares
características.
Respecto a las características de Netsky.C,
como ya avanzamos en el titular, es muy similar a sus predecesores,
Netsky.A y Netsky.B, este último de gran incidencia.
Como
principales diferencias, destaca que los ejecutables de Netsky.C se han
presentado de varias formas y tamaños al ser comprimidos por diferentes
utilidades, como Petite (25,353 bytes), Aspack (28,160 bytes) y UPX
(24,064 bytes). Esto puede representar ciertos problemas a los motores
que no reconozcan estos formatos de compresión, haciendo necesario que
introduzcan varias firmas para detectar las diferentes formas en que
puede presentarse. Otra diferencia es que Netsky.C no muestra un mensaje
de error cuando es ejecutado, como si lo hacían Netsky.A y Netsky.B.
Además incluye un payload que se activa el 26 de febrero desde las 6
hasta las 9 de la mañana, consistente en emitir sonidos de diferentes
frecuencias por el altavoz del ordenador, que vienen a recordar a los
sonidos que simulaban robots o computadores en las antiguas películas de
ciencia ficción.
Algunas casas antivirus han proporcionado
un archivo de audio .WAV para que los usuarios puedan escucharlo y
reconocerlo sin riesgos, por ejemplo:
http://vil.nai.com/images/101048.wav;
Cuando se
ejecuta, realiza una copia de si mismo en la carpeta de Windows como
Winlogon.exe, e incluye la siguiente entrada en el registro de Windows
para asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ICQ
Net = %Windir%winlogon.exe -stealth
Además
borra diferentes valores en el registro de Windows, con el fin de
desactivar algunos gusanos que pudieran estar presentes en el sistema,
como Mydoom.A, Mydoom.B, Netsky.A, Netsky.b y Mimail.T, o antivirus como
Kaspersky.
Distribución por correo electrónico, unidades de
disco, y redes P2P
Al igual que su predecesor Netsky.B, se
trata de un gusano que se distribuye principalmente a través del correo
electrónico. También puede infectar a otros equipos a través de las
unidades de red (chequea desde la C: hasta la Z:) y se copia en las
carpetas cuyo nombre contenga la cadena Shar, que en muchos casos se
corresponderán con las carpetas compartidas de los clientes P2P (por
ejemplo, el popular KaZaa).
Para copiarse en las carpetas
compartidas de los clientes P2P, como suele ser habitual en este tipo de
gusanos, utiliza nombres de archivos con referencias a contenidos
pornográficos, cracks, aplicaciones pirateadas, archivos de música,
documentos, etc., que pretenden ser atractivos para que otros usuarios
de las redes P2P lo descarguen y ejecuten, logrando su infección.
Por e-mail se puede presentar de múltiples formas diferentes, lo que puede
dificultar su identificación a simple vista, aunque la extensión del
archivo terminará en .ZIP, .COM, .EXE, .PIF o .SCR.
Para
autoenviarse emplea su propio motor SMTP, falsificando el e-mail del
remitente, con direcciones del sistema del usuario que obtiene
rastreando entre archivos de diversas extensiones, como .adb, .asp,
.cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf,
.sht, .shtm, .tbb, .txt, .uin, .vbs, y .wab.
El asunto del
mensaje en el que viaja, el texto del cuerpo, o el nombre del archivo,
son muy variables, en función de unas extensas listas que el gusano
incorpora. Si bien destaca que todos los textos son en inglés, lo que
favorece a los usuarios de otras lenguas, como el español, que por este
motivo pueden ser más recelosos a la hora de abrir los mensajes en el
que viaja Netsky.C y sus otras variantes.
Como siempre la regla
de oro a seguir es no abrir o ejecutar archivos potencialmente
peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente,
contar con soluciones antivirus correctamente instaladas y puntualmente
actualizadas.
LinkedIn comparte una lista con las cinco tendencia que definirán la senda del mercado laboral…
Proopoint cree que el año que viene los delincuentes manipularán datos privados asociados a la…
Las implantación de nuevas herramientas, la optimización de productos ya existentes y la adopción de…
La mayoría renovaría por completo su infraestructura de seguridad para adoptar soluciones totalmente integradas.
Entrevistamosa Sergio Rodríguez, CTO de PUE DATA, para hablar del "boom" de los espacios de…
Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…