Se trata de la variante B del gusano Netsky, bautizado como Netsky.B que
basa su propagación en el correo electrónico y las redes de intercambio
de archivos y que en estos momentos ya ha infectado a múltiples usuarios.
Este virus se propaga a través del correo electrónico y todas las unidades
disponibles del sistema infectado (desde la C: hasta la Z:), lo que
incluye las unidades de red a las que tenga acceso. Se envía a si mismo
a las direcciones que encuentra en el sistema de la víctima y se copia
con atractivos nombres en las carpetas que contengan las palabras
share o sharing de cualquiera de las unidades, con objeto de
propiciar su distribución a través de aplicaciones P2P como KaZaA, eMule
o similares.
Netsky.B se puede presentar en múltiples formas
diferentes, lo que puede dificultar su identificación a simple vista.
Para autoenviarse emplea su propio motor SMTP, falsificando el e-mail
del remitente (con direcciones obtenidas del sistema del usuario
rastreando entre archivos de diversas extensiones, como .html, .html,
.php, .eml, .msg, txt, .wab o comprimido en un .zip). De esta forma la
dirección no corresponderá al usuario realmente infectado desde cuyo
sistema se está enviando el gusano.
Como ya dijimos ayer, la
regla de oro a seguir es no abrir o ejecutar archivos potencialmente
peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente,
contar con soluciones antivirus correctamente instaladas y puntualmente
actualizadas. También resulta útil seguir los foros de seguridad o
listas como una-al-día, para estar al tanto de las últimas amenazas
que nos pueden afectar.
El asunto del mensaje puede ser uno de
los siguientes:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
El cuerpo del mensaje es una frase corta en inglés elegida
aleatoriamente entre más de 40 diferentes. De forma similar ocurre con
el nombre del archivo adjunto, cuya extensión puede variar entre .doc,
.htm, .rtf o .text, seguido de .com, .exe, .pif o .scr para lograr su
ejecución.
El gusano se copia a si mismo en la carpeta
%WinDir% (Windows) con el nombre de archivo services.exe. Y se crea la
siguiente clave del registro para asegurarse su ejecución cada vez que
el usuario inicie el sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
service = C:WINNTservices.exe -serv
El virus
elimina las siguientes claves del registro provocando entre otros
efectos la desactivación de los gusanos Mydoom.A y Mydoom.B en el caso
de encontrarse en el sistema infectado:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Taskmon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Explorer
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Taskmon
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Explorer
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
KasperskyAv
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun system.
Las normas de interoperabilidad que marca la Ley de Mercados Digitales podrían poner en riesgo…
Aportarán un total de 156,5 millones de unidades de los casi 538 millones de envíos…
Esta adopción destaca principalmente en tres sectores: servicios financieros, fabricación y energía.
Analiza una amenaza en la que la estructura de los scripts, los comentarios en líneas…
Zoho destaca la importancia de las herramientas de low code o no code para favorecer…
Se incorpora procedente de Trellix, donde lideró operaciones para España, Oriente Medio, Turquía y los…