Netsky

NETSKY, gusano infecta masivamente vía Correo y redes P2P intenta borrar registros de Mydoom.

W32/Netsky@mm, I-worm.netsky@mm

Netsky es un gusano de Correo y redes compartidas Peer to Peer, reportado el 17 de Febrero del 2004, que se propaga con un archivo de nombre Services.exe, el mismo que actuando como dropper libera una gran cantidad de archivos con extensión ZIP.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes, y los archivos anexados son elegidos aleatoriamente de una lista cifrada dentro del código del virus.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 21 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado, contenidas en archivos con las siguientes extensiones:

msg
oft
sht
dbx
tbb
adb
doc
wab
asp
uin
rtf
vbs
htm
html
pl
php
txt
eml

Los mensajes tienen estas características:

Remitente: uno de los siguientes:

auctions@msn.com
auctions@yahoo.com
responder@amazon.com
responder@ebay.com
responder@qxl.com
responder@yahoo.com

Asunto: "Auction successful!"
Contenido:

#----------------- message was sent by automail agent ------------------#

Congratulations!

You were successful in the auction.
Auction ID [número_aleatorio]
Product ID [número_aleatorio]

A detailed description about the product and the bill
are attached to this mail.
Please contact the seller immediately.

Thank you!

Anexado, elegidos aleatoriamente de la siguiente lista cifrada:

prod_info_55761.rtf.exe
prod_info_65642.rtf.scr
prod_info_33543.rtf.scr
prod_info_56474.txt.exe
prod_info_33325.txt.exe
prod_info_77256.txt.scr
prod_info_34157.htm.exe
prod_info_87968.htm.scr
prod_info_43859.htm.scr
prod_info_56780.doc.exe
prod_info_43631.doc.exe
prod_info_47532.doc.scr
prod_info_54433.doc.exe
prod_info_42314.pif
prod_info_54235.scr
prod_info_49146.exe
prod_info_33967.cmd
prod_info_42818.pif
prod_info_54739.scr
prod_info_04650.bat
prod_info_49541.exe
prod_info_33462.cmd
prod_info_42313.pif
prod_info_54234.scr
prod_info_04155.bat

Al ser ejecutado el archivo infectado muestra la siguiente caja de diálogo:

Luego se auto-copia al directorio %Windir% con el nombre Services.exe y libera los siguientes archivos en esa misma ruta:

prod_info_55761.zip
prod_info_65642.zip
prod_info_33543.zip
prod_info_56474.zip
prod_info_33325.zip
prod_info_77256.zip
prod_info_34157.zip
prod_info_87968.zip
prod_info_43859.zip
prod_info_56780.zip
prod_info_43631.zip
prod_info_47532.zip
prod_info_54433.zip
prod_info_42314.zip
prod_info_54235.zip
prod_info_49146.zip
prod_info_33967.zip
prod_info_42818.zip
prod_info_54739.zip
prod_info_04650.zip
prod_info_49541.zip
prod_info_33462.zip
prod_info_42313.zip
prod_info_54234.zip
prod_info_04155.zip

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Los archivos empaquetados en formato ZIP contienen una muestra del virus, el cual usa el mismo nombre de archivo anexado únicamente si tiene una de las siguientes extensiones:

RTF.EXE
RTF.SCR
TXT.EXE
TXT.SCR
HTM.EXE
HTM.SCR
DOC.EXE
DOC.SCR
PIF
SCR
EXE
CMD
BAT

Para ejecutarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Service" = "%Windir%\Services.exe -serv"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Service" = "%Windir%\Services.exe -serv"

Para propagarse a través de las redes Peer to Peer se copia a todas las carpetas de descarga de aquellas que se encuentren instaladas, con los siguientes nombres:

doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de su propio motor SMTP a direcciones de archivos de determinadas extensiones.
Infecta con un archivo de nombre Services.exe, pero actuando como dropper libera una gran cantidad de archivos con extensión ZIP.
Usa la técnica Spoofing para disfrazar a los nombres de los Remitentes.
Usa archivos anexados elegidos aleatoriamente de una lista cifrada dentro de su código viral.
También se difunde a través de las redes Peer to Peer cuyos software se encuentren instalados en los sistemas infectados.
Intenta borrar las llaves de registro creadas pos los gusanos Mydoom y Mydoom.B

PER ANTIVIRUS® versión 8.5 con registro de virus al 17 de Febrero del 2004 detecta y elimina eficientemente este gusano.