Netsky.G

NETSKY.G, gusano de alta propagación masiva vía Correo borra valores y registros de varios virus.

W32/Netsky.G@mm, I-worm.netsky.G@mm

Netsky.G es un gusano variante de la familia Netsky, de alta propagación a través de mensajes de Correo, reportado el 05 de Marzo del 2004 con un archivo binario anexado de nombre aleatorio con extensión .PIF o .ZIP

En caso que el sistema esté infectado con los virus Mydoom, Mydoom.B, Mymail.T, Netsky.A, Netsky.B, Deadhat.B, Nachi.B, Nachi.C, Parite.A, Bagle.A hasta el Bagle.K, los desactiva borrando los valores de sus llaves de registro.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.

Los Asuntos, Contenidos y archivos Anexados son aleatorios.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 27 KB y comprimido con el utilitario tElock:

http://www.softpedia.com/public/cat/5/2/5-2-6.shtml

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

adb
html
asp
cgi
dbx
dhtm
doc
eml
htm
oft
php
pl
rtf
sht
shtm
msg
tbb
txt
uin
vbs
wab

Tiene instrucciones para evitar enviarse a direcciones que tengan las siguientes cadenas:

abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
skynet
spam
messagelabs
ymantec
antivi
icrosoft
iruslis
antivir
sophos
freeav
andasoftwa

Emplea el DNS (Domain Name Server) local, extraído a través de un comando API y en caso que este no funcione usa una lista de DNS, cuya siguiente relación se encuentra cifrada en su código viral:

145.253.2.171
151.189.13.35
193.141.40.42
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16

Los mensajes tienen estas características:

Remitente, usa la técnica Spoofing con nombres de Remitentes falsos.

Asunto, uno de los siguientes:

Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Contenido, uno de los siguientes:

Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Anexado, elegidos aleatoriamente de la siguiente lista:

your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

Estos archivos también pueden estar comprimidos en formato .ZIP

Al ser activado se auto-copia al directorio %Windir% con el nombre avguard.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Special Firewall Service" = "%Windir%\avguard.exe -av service"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

El gusano borra los valores de los registros asociados a los siguientes virus:

Mydoom.A

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Taskmon

Mydoom.B

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Explorer

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Explorer

Para Mydoom.A y Mydoom.B:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

MyMail.T

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
KasperskyAv

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
KasperskyAv

Netsky.A y Netsky.B

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
service

Deadhat.B

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
msgsvr32

Nachi.B y Nachi.C

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]
WksPatch

Parite.A

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
PINF

Bagle.A

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
d3dupdate.exe

Bagle.B

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
au.exe

Bagle.C y Bagle.D

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
gouday.exe

Bagle.E, Bagle.F, Bagle.G, Bagle.H y Bagle.I

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
rate.exe

Bagle.J y Bagle.K

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ssate.exe

Este gusano también borra los siguientes registros que pudiesen ser utilizados por otros virus:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
system

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
system

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
DELETE ME

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
OLE

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Sentry

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Services Host

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Services Host

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
sysmon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
sate.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
srate.exe

El 10 de Marzo entre las 06:00 AM y 08:00 AM el gusano genera sonidos "beep" intermitentes.

Dentro de su código se puede leer esta cadena de texto:

Netsky AntiVirus - Give up, bagle & mydoom, dude! You are fucking your mother! I want to meet you in the U,S.A, Road-App time enc:[fg.od.jgij], and the you will know what pain is

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo a direcciones de archivos de determinadas extensiones, evitando enviarse a las que contienen algunas cadenas.
Usa la técnica Spoofing para disfrazar a los nombres de los Remitentes.
Los Asuntos y Contenidos son aleatorios.
Los archivos anexados, con extensión PIF o ZIP, son aleatorios.
Borra los valores y las llaves de registro creadas por los gusanos Mydoom, Mydoom.B, Mymail.T, Netsky.A, Netsky.B, Deadhat.B, Nachi.B, Nachi.C, Parite.A, Bagle.A hasta el Bagle.K
El 10 de Marzo entre las 06:00 AM y 08:00 AM el gusano genera sonidos "beep" intermitentes.

PER ANTIVIRUS® versión 8.5 con registro de virus al 05 de Marzo del 2004 detecta y elimina eficientemente este gusano.