W32/Netsky.B@mm, I-worm.netsky.B@mm

Netsky.B es un gusano de Correo y redes compartidas Peer to Peer, reportado el 18 de Febrero del 2004, que se propaga con un archivo de nombre aleatorio y de doble extensión, el mismo que actuando como dropper libera una gran cantidad de archivos con extensión ZIP. 

En caso que el sistema esté infectado con los virus Mydoom y Mydoom.B los desactiva borrando su llaves de registro.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes, los Asuntos y Contenidos son aleatorios y los archivos Anexados son construidos de unas listas con nombres y dobles extensiones. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 21.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado, contenidas en archivos con las siguientes extensiones:

• msg
• oft
• sht
• dbx
• tbb
• adb
• doc
• wab
• asp
• uin
• rtf
• vbs
• htm
• html
• pl
• php
• txt
• eml

Los mensajes tienen estas características:

Remitente, usa una de las direcciones extraídas del sistema o skynet@skynet.de

Asunto, uno de los siguientes:

• hello
• read it immediately
• something for you
• warning
• information
• stolen
• fake
• unknown 
• for
• hi
• immediately
• it
• read
• something
• warning
• you

Contenido, uno de los siguientes:

• anything ok?
• what does it mean?
• ok
• i'm waiting
• read the details.
• here is the document.
• read it immediately!
• my hero
• here
• is that true?
• is that your name?
• is that your account?
• i wait for a reply!
• is that from you?
• you are a bad writer
• I have your password!
• something about you!
• kill the writer of this document!
• i hope it is not true!
• your name is wrong
• i found this document about you
• yes, really?
• that is bad
• here it is
• see you
• greetings
• stuff about you?
• something is going wrong!
• information about you
• about me
• from the chatter
• here, the serials
• here, the introduction
• here, the cheats
• that's funny
• do you?
• reply
• take it easy
• why?
• thats wrong
• misc
• you earn money
• you feel the same
• you try to steal
• you are bad
• something is going wrong
• something is fool

Anexado, elegidos aleatoriamente de la siguiente lista:

• msg
• doc
• talk
• message
• creditcard
• details
• attachment
• me
• stuff
• posting
• textfile
• concert
• information
• note
• bill
• swimmingpool
• product
• topseller
• ps
• shower
• aboutyou
• nomoney
• found
• story
• mails
• website
• friend
• jokes
• location
• final
• release
• dinner
• ranking
• object
• mail2
• part2
• disco
• party
• misc

La primera extensión que puede no ser visible es una de las siguientes:

• .rtf
• .htm
• .doc
• .htm 

La segunda extensión es una de las siguientes:

• .scr
• .com
• .exe
• .pif

Al ser ejecutado el archivo infectado muestra la siguiente caja de diálogo:

Luego crea un mutex (Exclusión Mutua) denominado AdmSkynetJKIS003 para evitar ser ejecutado en memoria más de una vez. 

Se auto-copia al directorio %Windir% con el nombre Services.exe y para ejecutarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Service" = "%Windir%\Services.exe -serv"

Copia 40 archivos a ese mismo directorio en formato ZIP, los cuales contienen una copia del gusano que coinciden con los nombres de los archivos anexados. 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

El gusano borra los valores "Taskmon" y "Explorer" de las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 

Para propagarse a través de las redes Peer to Peer se copia a las carpetas que tengan la cadena de texto share o sharing y que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, con los siguientes nombres:

• winxp_crack.exe
• dolly_buster.jpg.pif
• strippoker.exe
• photoshop 9 crack.exe
• matrix.scr
• porno.scr
• angels.pif
• hardcore porn.jpg.exe
• office_crack.exe
• serial.txt.exe
• cool screensaver.scr
• eminem - lick my pussy.mp3.pif
• nero.7.exe
• virii.scr
• e-book.archive.doc.exe
• max payne 2.crack.exe
• how to hack.doc.exe
• programming basics.doc.exe
• e.book.doc.exe
• win longhorn.doc.exe
• dictionary.doc.exe
• rfc compilation.doc.exe
• sex sex sex sex.doc.exe
• doom2.doc.pif 

Si el sistema estuviese infectado con los gusanos Mydoom o Mydoom.B los remueve de las llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\TaskMon] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\Explorer] 
[HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32] 
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32] 

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo, haciendo uso de su propio motor SMTP a direcciones de archivos de determinadas extensiones.
• Infecta con un archivo de nombre aleatorio y de doble extensión y actuando como dropper libera una gran cantidad de archivos con extensión ZIP.
• Usa la técnica Spoofing para disfrazar a los nombres de los Remitentes. 
• Los Asuntos y Contenidos son aleatorios.
• También se difunde a través de las redes Peer to Peer cuyos software se encuentren instalados en los sistemas infectados.
• Intenta borrar las llaves de registro creadas pos los gusanos Mydoom y Mydoom.B

PER ANTIVIRUS® versión 8.5 con registro de virus al 18 de Febrero del 2004 detecta y elimina eficientemente este gusano.