Gusano Netsky.P el más propagado en las últimas 24 horas

El correo electrónico sigue siendo su principal vía de transmisión, si

bien también intenta infectar por otros medios copiándose en las

carpetas de archivos compartidos de los clientes P2P, FTP y descargas

HTTP.

La reacción de las casas antivirus en proporcionar la

actualización de la firma específica para que sus clientes pudieran

detectar a Netsky.P, según el sistema de monitorización 24hx7d del

laboratorio de Hispasec, fue la siguiente:

[Panda] 21.03.2004

17:02:41 :: W32/Netsky.P.worm

[Kaspersky] 21.03.2004 20:52:43 ::

I-Worm.Netsky.q

[NOD32] 21.03.2004 21:34:42 :: Win32/Netsky.Q

[Sophos] 22.03.2004 03:41:53 :: W32/Netsky-P

[TrendMicro] 22.03.2004

16:42:49 :: WORM_NETSKY.P

[McAfee] 22.03.2004 16:57:36 ::

W32/Netsky.p@MM!zip

[Norton] 22.03.2004 20:41:22 :: W32.Netsky.P@mm

[InoculateIT] 23.03.2004 08:57:55 :: Win32/Netsky.P.Worm

Como en

ocasiones anteriores, los tiempos mencionados son hora española (GMT+1).

El mensaje que utiliza el gusano para propagarse por correo electrónico puede

aprovechar una antigua vulnerabilidad que afectaba a Internet Explorer

5.x, y que fue corregida por Microsoft el 29 de marzo de 2001.

Básicamente esta vulnerabilidad permite ejecutar un archivo adjunto de

forma automática con tan sólo visualizar el mensaje, sin necesidad de

que el usuario abra o ejecute el archivo.

Los usuarios de

Internet Explorer 6 y/o que mantengan su sistema Windows actualizado, no

se encuentran afectados por la ejecución automática del gusano. Si bien,

no están libres de la infección si intentan abrir el archivo adjunto de

forma manual.

Si ejecutamos el archivo adjunto infectado, el

gusano se copia en la carpeta de Windows como FVProtect.exe, además de

crear los siguientes archivos en el mismo directorio:

userconfig9x.dll

base64.tmp

zip1.tmp

zip2.tmp

zip3.tmp

zipped.tmp

Como suele ser habitual en estos casos, para asegurar

su ejecución en cada inicio de sistema, incluye la siguiente entrada en

el registro de Windows, simulando ser un componente del antivirus Norton:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Norton

Antivirus AV” = %WinDir%FVProtect.exe

Utilizando su propio motor

SMTP, como en versiones anteriores de Netsky, se envía a las direcciones

que recolecta de diversos archivos del sistema infectado. La dirección

de remite es falseada, y los textos del asunto los elige de una lista,

entre los que se encuentran:

Re: Administration

Re: Bad Request

Re: Delivery Protection

Re: Delivery Server

Re: Encrypted Mail

Re:

Error

Re: Extended Mail

Re: Extended Mail System

Re: Failure

Re: Mail Authentification

Re: Mail Server

Re: Message Error

Re:

Notify

Re: Protected Mail Delivery

Re: Protected Mail Request

Re: Protected Mail System

Re: Secure delivery

Re: Secure SMTP

Message

Re: SMTP Server

Re: Status

Re: Test

Re: Thank you

for delivery

Mail Delivery (failure “direccion falseada”)

El

cuerpo también lo compone con varios textos en inglés escogidos de dos

listas, añadiendo al final un tercer texto para simular que el mensaje

ha sido analizado por algún antivirus y que está libre de virus:

+++ Attachment: No Virus found

+++ MessageLabs AntiVirus –

www.messagelabs.com

+++ Attachment: No Virus found

+++

Bitdefender AntiVirus – www.bitdefender.com

+++ Attachment: No

Virus found

+++ MC-Afee AntiVirus – www.mcafee.com

+++

Attachment: No Virus found

+++ Kaspersky AntiVirus – www.kaspersky.com

+++ Attachment: No Virus found

+++ Panda AntiVirus – www.pandasoftware.com

++++ Attachment: No Virus found

++++ Norman AntiVirus – www.norman.com

++++ Attachment: No Virus found

++++ F-Secure AntiVirus – www.f-secure.com

++++ Attachment: No Virus found

++++ Norton AntiVirus – www.symantec.de

La extensión del archivo adjunto infectado puede ser .exe, .pif, .scr, y .zip,

y el nombre también es bastante variable.

Para infectar a través

de las redes P2P, servidores FTP y HTTP, el gusano intenta copiarse en

las carpetas cuyo nombre contenga alguno de los siguientes textos, que

corresponden entre otros a los directorios de archivos compartidos de

varios clientes P2P (Kazaa, edonkey, emule,…):

bear

donkey

download

ftp

htdocs

http

icq

kazaa

lime

morpheus

mule

my shared folder

shar

shared files

upload

Los nombres de

archivo con los que se copia en esas carpetas, simulando diversas

aplicaciones y contenidos, y que deben evitarse en las descargas P2P,

son los siguientes:

Kazaa Lite 4.0 new.exe

Britney Spears Sexy

archive.doc.exe

Kazaa new.exe

Britney Spears porn.jpg.exe

Harry

Potter all e.book.doc.exe

Britney sex xxx.jpg.exe

Harry Potter 1-6

book.txt.exe

Britney Spears blowjob.jpg.exe

Harry Potter e

book.doc.exe

Britney Spears cumshot.jpg.exe

Harry Potter.doc.exe

Britney Spears fuck.jpg.exe

Harry Potter game.exe

Britney Spears.jpg.exe

Harry Potter 5.mpg.exe

Britney Spears and Eminem porn.jpg.exe

Matrix.mpg.exe

Britney Spears Song text archive.doc.exe

Britney

Spears full album.mp3.exe

Eminem.mp3.exe

Britney Spears.mp3.exe

Eminem Song text archive.doc.exe

Eminem Sexy archive.doc.exe

Eminem full album.mp3.exe

Eminem Spears porn.jpg.exe

Ringtones.mp3.exe

Eminem sex xxx.jpg.exe

Ringtones.doc.exe

Eminem blowjob.jpg.exe

Altkins Diet.doc.exe

Eminem Poster.jpg.exe

American Idol.doc.exe

Cloning.doc.exe

Saddam Hussein.jpg.exe

Arnold

Schwarzenegger.jpg.exe

Windows 2003 crack.exe

Windows XP crack.exe

Adobe Photoshop 10 crack.exe

Microsoft WinXP Crack full.exe

Teen Porn

15.jpg.pif

Adobe Premiere 10.exe

Adobe Photoshop 10 full.exe

Best Matrix Screensaver new.scr

Porno Screensaver britney.scr

Dark

Angels new.pif

XXX hardcore pics.jpg.exe

Microsoft Office 2003

Crack best.exe

Serials edition.txt.exe

Screensaver2.scr

Full

album all.mp3.pif

Ahead Nero 8.exe

netsky source code.scr

E-Book Archive2.rtf.exe

Doom 3 release 2.exe

How to hack

new.doc.exe

Learn Programming 2004.doc.exe

WinXP eBook

newest.doc.exe

Win Longhorn re.exe

Dictionary English 2004 –

France.doc.exe

RFC compilation.doc.exe

1001 Sex and more.rtf.exe

3D Studio Max 6 3dsmax.exe

Keygen 4 all new.exe

Windows 2000

Sourcecode.doc.exe

Norton Antivirus 2005 beta.exe

Gimp 1.8 Full

with Key.exe

Partitionsmagic 10 beta.exe

Star Office 9.exe

Magix Video Deluxe 5 beta.exe

Clone DVD 6.exe

MS Service Pack 6.exe

ACDSee 10.exe

Visual Studio Net Crack all.exe

Cracks digo de Netsky.P

también se pueden encontrar varios textos insultando al creador de Bagle.