W32/Netsky.N@mm, I-worm.netsky.N@mm

Netsky.N es un gusano variante de la familia Netsky, de alta propagación a través de mensajes de Correo, reportado el 17 de Marzo del 2004 con un archivo binario anexado de nombre aleatorio con extensión .EXE, .SCR o .PIF y en caso que el sistema esté infectado con algunos virus conocidos, los desactiva borrando los valores de sus llaves de registro.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.

Los Asuntos, Contenidos y archivos Anexados son aleatorios. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 33 KB y comprimido con el utilitario tElock:

http://www.softpedia.com/public/cat/5/2/5-2-6.shtml

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

• .adb
• .asp
• .cgi
• .dbx
• .dhtm
• .doc
• .eml
• .htm
• .html
• .jsp
• .msg
• .oft
• .php
• .pl
• .rtf
• .sht
• .shtm
• .tbb
• .txt
• .uin
• .vbs
• .wab
• .wsh
• .xml

Emplea el DNS (Domain Name Server) local, extraído a través de un comando API y los mensajes tienen estas características:

Remitente, usa la técnica Spoofing con nombres de Remitentes falsos.

Asunto, es un mensaje construido con la primera secuencia aleatoria (primera parte):

• Re:
• Re: Re:

Seguido de una de las siguientes palabras (segundo parte):

• my
• your
• [en_blanco]

Y una de las siguientes cadenas de texto (tercera parte):

• application
• approved
• approved
• bill
• corrected
• data
• details
• document
• document_all
• excel document
• file
• hello
• here
• hi
• important
• important
• improved
• information
• letter
• message
• patched
• product
• read it immediately
• screensaver
• text
• thanks!
• website
• word document

Contenido, uno de los siguientes:

• Authentication required.
• I have attached your document.
• I have received your document. 
• The corrected document is attached.
• Please confirm the document.
• Please read the attached file.
• Please read the document.
• Please read the important document.
• Please see the attached file for details.
• Requested file.
• See the file.
• Your details.
• Your document is attached to this mail.
• Your document is attached.
• Your document.
• Your file is attached.

Y el siguiente texto (tercera parte):

[nombre_de_archivo_anexado] : No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com

Anexado, elegidos aleatoriamente de la siguiente lista:

• document.exe
• your_details.scr
• doc.pif
• doc.txt[espacios_en_blanco].exe
• document.htm[espacios_en_blanco].scr

• your_details.doc[espacios_en_blanco].exe

Al ser activado el archivo anexado, se auto-copia al directorio %Windir% con el nombre VisualGuard.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NetDy" = "%Windir%\VisualGuard.exe" 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

También se copia a ese mismo directorio con los siguientes nombres de archivos:

• %Windir%\base64.tmp: (versión codificada en formato MIME del archivo ejecutable)
• %Windir%\zip1.tmp: (versión codificada en formato MIME del gusano en archivo ZIP)
• %Windir%\zip2.tmp: (versión codificada en formato MIME del gusano en archivo ZIP)
• %Windir%\zip3.tmp: (versión codificada en formato MIME del gusano en archivo ZIP)
• %Windir%\zip4.tmp: (versión codificada en formato MIME del gusano en archivo ZIP)
• %Windir%\zip5.tmp: (versión codificada en formato MIME del gusano en archivo ZIP)
• %Windir%\zip6.tmp: (versión codificada en formato MIME del gusano en archivo ZIP)
• %Windir%\zipped.tmp: (el gusano en sí, en archivo ZIP)

El gusano borra los valores de los registros asociados a virus como Mydoom.A, MyDoom.B, Deadhead, Parite, Bagle, etc.:

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
  "au.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "d3dupdate.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
  "Explorer"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "OLE"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "Taskmon"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "DELETE ME"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Explorer"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
  "msgsvr32"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Sentry"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
  "service"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
  "system"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
  "Taskmon"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 
  "system."
• [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo a direcciones de archivos de determinadas extensiones. 
• Usa la técnica Spoofing para disfrazar a los nombres de los Remitentes. 
• Los Asuntos son construidos de dos listas de palabras y cadenas de textos y una tercera relacionada al antivirus Norton de Symantec.
• Los Contenidos son aleatorios.
• Los archivos anexados, con extensión EXE, SCR o PIF, son aleatorios.
• Se copia al directorio %Windir% con un nombre de archivo .EXE y libera otros con diversos nombres, todos con extensión .TMP
• Borra los valores y las llaves de registro creadas por los gusanos Mydoom, Mydoom.B, Netsky.A, Netsky.B, Deadhat.B, Nachi.B, Nachi.C, Parite.A, Bagle.A hasta el Bagle.K

PER ANTIVIRUS® versión 8.5 y 8.6 con registro de virus al 17 de Marzo del 2004 detecta y elimina este gusano.