W32/Netsky.AD@mm, W32/Netsky.AF, I-worm.netsky.AD@mm

También se difunde vía la mayoría de redes Peer to Peer y el ICQ. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión promedio de 30.5 KB y comprimido con los utilitarios UPX (Ultimate Packer for eXecutables) y SPEC.

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows (WAB) o las contenidas en archivos con las extensiones:

• oft
• sht
• dbx
• tbb
• adb
• doc
• wab
• asp
• uin
• rtf
• vbs
• htm
• html
• pl
• php
• txt
• eml

Los mensajes tienen estas características:

Remitente, cualquier dirección extraída del sistema infectado.

Asunto, una de las siguientes cadenas de texto:

• 0123456789 
• Abra rapido isso!!!!
• acrdito que em voce!!!
• agradou
• agua!
• AIDS!
• algo a mais
• AmaVoce
• amor me liga
• AninhaPutinha +55operado6992292246
• arquivo zipado PGP???
• banco!
• bingos!
• Boleto Pague
• botao
• brasil!
• campanhadafome
• carros!
• circular
• contas!!
• criancas!
• dinheiro!!
• email
• encontro voce!
• estou doente veja!!!
• falea verdade!!!
• ferias nos E.U.A
• festa!!
• flipe
• ganhe muita grana
• gostaria disso e voce???
• grana
• grana!!
• Hackers do Brasil
• imposto
• impressao!!
• jogo!
• lantrocidade
• Lembra?
• LINUSTOR
• loterias
• lulao!
• massas!
• me diz o queacha?
• me veja peladinha
• Medical Labs Exames!!!
• meu telefone liga
• missao
• morto
• olha que isso!!!
• parabens!
• pescaria por kilo
• PizzaVeneza!
• Policia SP
• pq nao me liga??
• preenche ai ta bom
• promocao de viajens de fim de ano
• Proposta de emprego!!
• receitas de bolo!!
• retorna logo isso!!
• revista
• reza de sao tome!!!!.
• robos!
• sampa!!
• sinto voce!!
• sorteado!!
• sua conta bancaria zerada
• Sua Conta!!
• Sua saude esta bem?
• Surto :(
• te amo!
• tetas
• tudo sobre voce sabe
• Vacina contra o HIV!!
• vadias!
• ve ai logo ta
• veja detalhes!!!.
• veja o que tem no zip e me liga
• vips!
• voce passou :D!!!
• war3!
• zerado 

Contenido, uno de los siguientes:

• agradou
• agua!
• AIDS!
• banco!
• bingos!
• botao
• brasil!
• carros!
• circular
• contas!!
• criancas!
• dinheiro!!
• email
• festa!!
• flipe
• grana
• imposto
• impressao!!
• jogo!
• lantrocidade
• LINUSTOR
• loterias
• lulao!
• massas!
• missao
• morto
• pescaria por kilo
• revista
• robos!
• sampa!!
• Sua saude esta bem?
• sorteado!!
• tetas
• vadias!
• vips!
• war3!
• zerado

Anexado, uno de los siguientes nombres:

• agradou
• agua!
• AIDS!
• banco!
• bingos!
• botao
• brasil!
• carros!
• circular
• contas!!
• criancas!
• dinheiro!!
• email
• festa!!
• flipe
• grana
• imposto
• impressao!!
• jogo!
• lantrocidade
• LINUSTOR
• loterias
• lulao!
• massas!
• missao
• revista
• robos!
• sampa!!
• sorteado!!
• tetas
• vadias!
• vips!
• war3!
• zerado

con cualquiera de las extensiones: 

• bat
• zip
• doc
• exe
• scr 

o de doble extensión resultante de la combinación aleatoria de las anteriores.

Al se ejecutado muestra esta falsa caja de diálogo:

Luego se auto-copia al directorio %Windir% con uno de los nombres de archivos:

• AIDS!.zip
• banco!.zip
• bingos!.zip
• carros!.zip
• circular.zip
• contas!!.zip
• criancas!.zip
• dinheiro!!.zip
• docs.zip
• festa!!.zip
• flipe.zip
• grana!!.zip
• imposto.zip
• jogo!.zip
• lantrocidade.zip
• LINUSTOR.zip
• lulao!.zip
• missao.zip
• MsnMsgrs.exe
• revista.zip
• sampa!!.zip
• sorteado!!.zip
• tetas.zip
• vadias!.zip
• vips!.zip
• zerado.zip

para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr" = "%Windir%\MsnMsgrs.exe -alev"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio el archivo MsnMsgrs.exe es ejecutado y desempaqueta el archivo con extensión .ZIP, de ser el caso, el cual ejecutará las rutinas de propagación masiva por correo.

Luego, en caso de estar presentes borra las siguientes llaves de variantes de otros gusanos:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Taskmon"
• [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Taskmon"
• [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
  InProcServer32
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Explorer"
• [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Explorer"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "KasperskyAv"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "system"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
  "RunServices"\"system."o. 

Y para propagarse vía las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. de estar instaladas, así como a las de mensajería instantánea como el ICQ y se copia con los siguientes nombres:

• aninha gatinha!.zip.scr
• barrio.scr
• cafe!!.zip.scr
• Canaval2004!.jpg.pif
• Carnaval em Salvador!!.zip.scr
• caspa.scr
• celulares!!.zip.scr
• clica ai logo meu.scr
• comoserrico!.zip.scr
• importante!!!!!.zip.scr
• minhavida!.zip.exe
• MulataDandoOcujpg.scr
• multas.pif
• paula!.scr
• puteiros!!.scr
• receitas de bolo!!.zip.scr
• rede globo tv!.zip.scr
• ResidentEvil2.zip.scr
• rocha.scr
• traficoemSP!.scr
• vadias peladas!!.scr
• vida!!.zip.scr
• VivaNaBaia!.scr
• vota!.zip.scr 

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo con Asuntos, Contenidos y archivos Anexados en idioma portugués con extensiones .BAT, .ZIP, .DOC, .EXE o .SCR o con doble extensión. 
• Se propaga además vía la mayoría de redes Peer to Peer y el ICQ
• Borra las llaves de registro creadas por otras variantes de gusanos.

PER ANTIVIRUS® versión 8.9 con registro de virus al 14 de Octubre del 2004 detecta y elimina eficientemente este gusano.