NETSKY.CA, gusano de Correo borra valores de llaves de registro y las vinculadas a gusanos Bagle y MyDoom. 

© Jorge Machado  Lima-Perú

W32/Netsky.CA@mm

Netsky.CA es un gusano reportado el 13 de Noviembre del 2006 de propagación masiva a través de mensajes de Correo con archivos de nombres aleatorios y de doble extensión, los cuales actuando como "dropper" liberan copias de sí mismo en formato de codificación Base64.

En caso que el sistema esté infectado con variantes de los gusanos Bagle y Mydoom los desactiva borrando sus llaves de registro.

Emplea la técnica Spoofing, que disfraza las verdaderas direcciones de los Remitentes, los Asuntos y Contenidos son aleatorios y los archivos Anexados son construidos de unas listas con nombres y dobles extensiones. 

Borra además valores de otras llaves de registro. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 28.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado, contenidas en archivos con las siguientes extensiones:

Los mensajes tienen estas características:

Remitente, usa una de las direcciones extraídas del sistema.

Asunto, uno de los siguientes:

Contenido, uno de los siguientes:

Al pie del contenido consigna esta firma:

Nao Tem Virus! 
Norton AntiVirus Procura Progressiva 
Mais detalhes: www.symantec.com

Anexado, elegidos aleatoriamente de la siguiente lista:

La primera extensión es una de las siguientes:

La segunda extensión es una de las siguientes:

Al ser ejecutado crea un mutex (Exclusión Mutua) denominado VxBrasil_Causando! para evitar ser ejecutado en memoria más de una vez. 

Se copia al directorio %Windir% como DISKMONITOR.EXE y libera copias de sí mismo en formato de codificación Base64 a ese directorio: 

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leído normalmente. Se emplea una sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para poder ser representados por caracteres imprimibles. 

para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"AleVi" = "%Windir%\DISKMONITOR.EXE" 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

El gusano borra los siguientes valores:

de la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

y los valores:

de la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

En caso de existir, el gusano borra los valores creados por variantes de los gusanos Bagle y Mydoom de las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System] 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch] 

PER ANTIVIRUS® versión 9.9 con registro de virus al 13 de Noviembre del 2006 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS