W32/NETAV@MM, I-worm.mv4&vr@mm

Netav es un un gusano reportado el 04 de Enero del 2003 que se propaga masivamente mediante el envío de mensajes de correo, con diversos Asuntos, Contenidos y archivos anexados aleatorios, incluyendo documentos extraídos del sistema infectado. 

Tiene 12 KB y es un PE (Portable Ejecutable) que infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP 

Sus mensajes tienen las siguientes características:

Asunto, cualquiera de los siguientes:

• Hello
• For you
• Try it
• Re:

Contenido, cualquiera de los siguientes:

• Hi
  Here is what you asked, bye. 

• Hello
  Maybe you could help me with this, bye. 
  
• Hello 
  Now you can try it, bye.

Anexado, uno de los siguientes archivos:

• Setup.exe
• Hgame.exe
• Mininet.exe
• Netav.exe

Los días Jueves envía archivos con extensión .DOC extraídos de la carpeta Mis Documentos.

Al ejecutar el archivo, se auto-copia a la carpeta %System% con el nombre de NETAV.EXE y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
NETAV AGENT = C:\%System%\Netav.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al activarse el gusano, verifica la existencia de un mutex de nombre Mymutex y si éste existe, comprueba que el sistema ya está previamente infectado y no ejecuta ninguna acción.  

En caso contrario si no encuentra en memoria el mutex procederá con su proceso y como primera acción buscará la función RegisterService en el módulo KERNEL32.DLL, el cual se encuentra instalado únicamente en Windows 95/98/Me y procederá a auto-registrarse como un servicio del sistema y ocultarse de la caja de diálogo "Close". 

Inmediatamente mostrará la siguiente falsa caja de diálogo:

El gusano libera un archivo de nombre ICMAIL.DLL el cual registra las direcciones de correo que extrae de la Libreta de Direcciones de Windows (WAB) y de los archivos con extensión .HTM y .HTML contenidos en el cache de Internet. Los días Jueves el ICMAIL.DLL re-actualiza la nuevas direcciones.

Para el envío masivo de correo usa su propio motor SMTP, para lo cual busca el servidor SMTP instalado por defecto en el sistema infectado, haciendo uso de la siguiente llave de registro:  

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet AccountManager\Default Mail Account]
SMTP Server

El gusano espera que se establezca una conexión a Internet en intervalos infinitos (loop) de 5 minutos y procede al auto-envío masivo a los buzones de correo contenidos en el archivo ICMAIL.DLL. 

De no hallar el servidor SMTP usará las funciones de librerías MAPI (Messaging Application Programming Interface) de MS Outlook y Outlook Express para su auto-envío, el mismo que en todos los casos no superará los 150 mensajes. Después del envío el gusano se desactivará de memoria.   

Los días Jueves extraerá de la carpeta Mis Documentos hasta 20 archivos con extensión .DOC, los cuales enviará como archivos anexados, en reemplazo de los ejecutables contenidos en su código viral. 

El siguiente texto se puede leer en su código:

Sus payloads son los siguientes:

• Captura los buzones de correo de la Libreta de Direcciones de Windows y de archivos .HTM y .HTML
• Se auto-envía masivamente a través de su propio SMTP o de las librería MAPI 
• Captura archivos .DOC de la carpeta Mis Documentos y envía como anexados los días Jueves. 
• Intenta saturar los servidores de correo pudiendo causar una Negación de Servicio (DoS).

PER ANTIVIRUS® versión 7.8 con registro de virus al 04 de Enero del 2003 detecta y elimina eficientemente este gusano.