|
NETSKY.T, gusano/backdoor de Correo controla sistemas remotamente
ocasiona ataques DoS, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Netsky.T@mm,
I-worm.netsky.T@mm
 |
|
Netsky.T es
un gusano/backdoor variante de la
familia Netsky, de
alta propagación a través de mensajes de Correo, reportado el 06 de
Abril
del 2004 con un archivo Anexado de nombre aleatorio con
extensión .PIF.
Se conecta al puerto
TCP 6789
para controlar remotamente a los sistemas infectados e intenta
ejecutar ataques DoS o de Negación de Servicios a
determinados sitios en la web. |
Emplea la técnica Email
spoofing, que disfraza las verdaderas direcciones de los Remitentes.
Los Asuntos, Contenidos y archivos Anexados son aleatorios.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/XP,
está desarrollado en Visual C++ con una extensión de 18 KB y comprimido con
el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Posee su propio SMTP
(Simple Mail Transfer Protocol) y se envía a
todas las direcciones de correo del sistema infectado contenidas en
archivos con las siguientes extensiones:
- eml
- txt
- php
- asp
- wab
- doc
- sht
- oft
- msg
- vbs
- rtf
- uin
- shtm
- cgi
- dhtm
- adb
- tbb
- dbx
- pl
- htm
- html
- jsp
- wsh
- xml
- cfg
- mbx
- mdx
- mht
- mmf
- nch
- ods
- stm
- xls
- ppt
Los mensajes tienen estas características:
Remitente, usa la técnica Spoofing con
nombres de Remitentes falsos.
Asunto, uno de las siguientes
cadenas de texto:
- Hello!
- Hi!
- Re: Important
- Important
- Re: My details
- My details
- Re: Your information
- Your information
- Re: Your details
- Your details
- Re: Your document
- Your document
- Re: Request
- Request
- Re: Thanks you!
- Thank you!
- Re: Approved
- Approved
- Re: Hello
- Re: Hi
- Hello
- Approved file
- List
- Corrected document
- Archive
- Abuse list
- Presentation document
- Instructions
- Details
- Improved document
- Note
- Message
- Contact list
- Number list
- File
- Secound document
- Improved file
- User list
- Textfile
- New document
- Text
- Information
- Info
- Word document
- Excel document
- Powerpoint document
- Detailed document
- Homepage
- Letter
- Mail
- Document
- Old document
- Approved document
- Movie document
- Picture document
- Summary
- Description
- Requested document
- Notice
- Bill
- Answer
- Release
- Final version
- Diggest
- Important document
- Order
- Photo document
- Personal message
- Phone number
- E-mail
- Icq number
- Report
- Story
- Concept
- Developement
- Sample
- Postcard
- Account
Contenido, es un mensaje construido con tres secuencias aleatorias:
Seguido de una de las siguientes frases:
- Note that I have attached your
document.
- My [%]
- The [%]
- I have spent much time for the [%]
- I have spent much time for your
document.
- Your [%]
- Please notice the attached [%]
- Please notice the attached document.
- Please read quickly.
- For more details see the attached
document.
- For more information see the
attached document.
- Approved, here is the document.
- I have found the [%]
- My %s is attached.
- Your %s is attached.
- Please, [%]
- Your file is attached to this mail.
- Please read the attached document.
- Please have a look at the attached
document.
- See the document for details.
- Here is the document.
- The requested %s is attached!
- I have sent the [%]
- Please see the [%]
- The %s is attached.
- Here is the [%]
- Please have a look at the [%]
- Please read the [%]
[%] es el nombre del archivo
Anexado.
Y una de las siguientes cadenas de texto:
- Yours sincerely
- Thank you
- Thanks
Anexado, [nombre_aleatorio].pif
que puede ser uno de los siguientes:
- approved_file
- list
- corrected_document
- archive
- abuse_list
- presentation_document
- instructions
- details
- improved_document
- note
- message
- contact_list
- number_list
- file
- secound_document
- improved_file
- user_list
- textfile
- new_document
- text
- information
- info
- word_document
- excel_document
- powerpoint_document
- detailed_document
- homepage
- letter
- mail
- document
- old_document
- approved_document
- movie_document
- picture_document
- summary
- description
- requested_document
- notice
- bill
- answer
- release
- final_version
- diggest
- important_document
- order
- photo_document
- personal_message
- phone_number
- e-mail
- icq_number
- report
- story
- concept
- developement
- sample
- postcard
- account
Al ser activado el archivo infectado crea dos mutex
denominados "Protect_USUkUyUnUeUtU_Mutex"
y "SyncMutex_USUkUyUnUeUtU" para
evitar la generación de múltiples copias en la memoria de Windows.
Luego se auto-copia al directorio %Windir%
con el nombre EasyAV.exe y para ejecutarse la próxima vez que se
inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"EasyAV" =
"%Windir%\EasyAV.exe"
También crea el archivo uinmzertinmds.opm
en ese mismo directorio que es una copia del gusano codificada en formato
MIME (Multipurpose Internet Mail Extensions).
%Windir%
es una variable que corresponde a C:\Windows
en Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
Si la fecha del sistema no es Abril del
2004 o el día es menor a 14 o mayor a 16 el gusano procederá al envío
masivo de mensajes de correo usando su propio SMTP.
Actuando como Backdoor se conectará
al puerto TCP 6789 desde el cual
ejecutará acciones y comandos de control remoto en los sistemas infectados.
Si la fecha del sistema es del 14 al 23 de
Abril del 2004 el gusano intentará ocasionar un ataque DoS a los siguientes
sitios en la web:
- www.cracks.am
- www.emule.de
- www.kazaa.com
- www.freemule.net
- www.keygen.us
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de correo a direcciones de archivos de
determinadas extensiones.
- Usa la técnica Spoofing para disfrazar a
los nombres de los Remitentes.
- Los Asuntos son aleatorios.
- Los Contenidos son construidos
aleatoriamente de tres listas de
palabras y cadenas de textos.
- Los archivos anexados, con extensión PIF
son aleatorios.
- Si la fecha del sistema no es Abril del 2004
o el día es menor a 14 o mayor a 16 el gusano procederá al envío masivo
de mensajes de correo usando su propio SMTP.
- Se conecta al puerto TCP
6789 desde el cual ejecutará acciones y comandos de control remoto en los
sistemas infectados.
- Si la fecha del sistema es del 14 al 23 de
Abril del 2004 el gusano intentará ocasionar un ataque DoS a determinados
sitios en la web.
PER ANTIVIRUS®
versión 8.6 con registro de virus al 06 de Abril
del 2004 detecta y elimina eficientemente este gusano/backdoor.
