|
NETSKY.AN, gusano de alta propagación masiva vía Correo redes Peer to Peer e ICQ, desarrollado en Brasil.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Netsky.AN@mm, I-worm.netsky.AN@mm
|
|
Netsky.AN es un gusano reportado el 21 de Octubre del 2005 de propagación a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados en idioma portugués con dos formatos, siendo el primero primordialmente
con archivos de doble extensión y el segundo con extensiones aleatorias .com, .exe, .bat, .pif, .scr
o .zip. También se difunde vía la mayoría de redes Peer to Peer y el ICQ.
Infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado en MS Visual C++ con una extensión de
31 KB y comprimido con el utilitarios UPX (Ultimate Packer for eXecutables).
|
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows (WAB) o manipulando las funciones de las librerías MAPI (Messaging
Application Programming Interface) que controlan la direcciones de MS Outlook.
Los mensajes tienen estas características:
Remitente, cualquier dirección extraída del sistema infectado.
Asunto, una de las siguientes cadenas de texto:
- agradou
- agua!
- AIDS!
- banco!
- bingos!
- botao
- brasil!
- carros!
- circular
- contas!!
- criancas!
- dinheiro!!
- email
- festa!!
- flipe
- grana
- grana!!
- imposto
- impressao!!
- jogo!
- lantrocidade
- LINUSTOR
- loterias
- lulao!
- massas!
- missao
- revista
- robos!
- sampa!!
- sorteado!!
- tetas
- vadias!
- vips!
- war3!
- zerado
Contenido, uno de los siguientes:
- Abra rapido isso!!!!
- acrdito que em voce!!!
- algo a mais
- AmaVoce
- amor me liga
- arquivo zipado PGP???
- Boleto Pague
- campanhadafome
- encontro voce!
- estou doente veja!!!
- falea verdade!!!
- ferias nos E.U.A
- ganhe muita grana
- gostaria disso e voce???
- grana
- Hackers do Brasil
- Lembra?
- me diz o queacha?
- me veja peladinha
- Medical Labs Exames!!!
- meu telefone liga
- olha que isso!!!
- parabens!
- PizzaVeneza!
- Policia SP
- pq nao me liga??
- preenche ai ta bom
- promocao de viajens de fim de ano
- Proposta de emprego!!
- receitas de bolo!!
- retorna logo isso!!
- reza de sao tome!!!!.
- sinto voce!!
- sua conta bancaria zerada
- Sua Conta!!
- Surto :(
- te amo!
- tudo sobre voce sabe
- Vacina contra o HIV!!
- ve ai logo ta
- veja detalhes!!!.
- veja o que tem no zip e me liga
- voce passou :D!!!
Anexado, el primer formato con uno de los siguientes nombres:
- aninha gatinha!.zip.scr
- barrio.scr
- cafe!!.zip.scr
- Canaval2004!.jpg.pif
- Carnaval em Salvador!!.zip.scr
- caspa.scr
- celulares!!.zip.scr
- clica ai logo meu.scr
- comoserrico!.zip.scr
- importante!!!!!.zip.scr
- minhavida!.zip.exe
- MulataDandoOcujpg.scr
- multas.pif
- paula!.scr
- puteiros!!.scr
- receitas de bolo!!.zip.scr
- rede globo tv!.zip.scr
- ResidentEvil2.zip.scr
- rocha.scr
- traficoemSP!.scr
- vadias peladas!!.scr
- vida!!.zip.scr
- VivaNaBaia!.scr
- vota!.zip.scr
y el segundo con una de estas cadenas:
- agradou
- agua!
- AIDS!
- banco!
- bingos!
- botao
- brasil!
- carros!
- circular
- contas!!
- criancas!
- dinheiro!!
- email
- festa!!
- flipe
- grana
- grana!!
- imposto
- impressao!!
- jogo!
- lantrocidade
- LINUSTOR
- loterias
- lulao!
- massas!
- missao
- revista
- robos!
- sampa!!
- sorteado!!
- tetas
- vadias!
- vips!
- war3!
- zerado
- [aleatorio]
con cualquiera de las extensiones:
Al se ejecutado se auto-copia al directorio %Windir% como MsnMsgrs.exe y libera copias de sí mismo con extensión .ZIP y los nombres:
- agradou
- agua!
- AIDS!
- banco!
- bingos!
- botao
- brasil!
- carros!
- circular
- contas!!
- criancas!
- dinheiro!!
- email
- festa!!
- flipe
- grana
- grana!!
- imposto
- impressao!!
- jogo!
- lantrocidade
- LINUSTOR
- loterias
- lulao!
- massas!
- missao
- revista
- robos!
- sampa!!
- sorteado!!
- tetas
- vadias!
- vips!
- war3!
- zerado
para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr" = "%Windir%\MsnMsgrs.exe -alev"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo ejecutará su rutinas de envío masivo de mensajes de correo.
Para propagarse vía las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena shar, que corresponden a Kazaa, BearShare,
eDonkey, Morpheus, Grokster, LimeWire., etc. de estar instaladas, así
como a las de mensajería instantánea como el ICQ y se copia con los siguientes nombres:
- aninha gatinha!.zip.scr
- barrio.scr
- cafe!!.zip.scr
- Canaval2004!.jpg.pif
- Carnaval em Salvador!!.zip.scr
- caspa.scr
- celulares!!.zip.scr
- clica ai logo meu.scr
- comoserrico!.zip.scr
- importante!!!!!.zip.scr
- minhavida!.zip.exe
- MulataDandoOcujpg.scr
- multas.pif
- paula!.scr
- puteiros!!.scr
- receitas de bolo!!.zip.scr
- rede globo tv!.zip.scr
- ResidentEvil2.zip.scr
- rocha.scr
- traficoemSP!.scr
- vadias peladas!!.scr
- vida!!.zip.scr
- VivaNaBaia!.scr
- vota!.zip.scr
PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 21 de Octubre del 2005 detectan y eliminan eficientemente este gusano.
