W32/Netsky.Y@mm, I-worm.netsky.Y@mm

Netsky.Y es un gusano/backdoor reportado el 21 de Abril del 2004 variante de la familia Netsky, de alta propagación a través de mensajes de Correo, con un archivo anexado de que simula ser un enlace (link), compuesto por el nombre del dominio, del usuario, una cadena aleatoria de 8 caracteres alfanuméricos y la extensión .COM  Los Asuntos y Contenidos tienen componentes con valores aleatorios. Abre el puerto TCP 82 y recibe comandos del autor del virus. Del 28 al 30 de Abril ejecuta un ataque DoS a diversos dominios.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 19 KB y comprimido con el utilitario PEPack:

http://www.pestpatrol.com/PestInfo/p/pepack_1_0.asp

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

• .eml
• .txt
• .php
• .cfg
• .mbx
• .mdx
• .asp
• .wab
• .doc
• .vbs
• .rtf
• .uin
• .shtm
• .cgi
• .dhtm
• .abd
• .tbb
• .dbx
• .pl
• .htm
• .html
• .sht
• .oft
• .msg
• .ods
• .stm
• .xls
• .jsp
• .wsh
• .xml
• .mht
• .mmf
• .nch
• .ppt

Emplea el DNS (Domain Name Server) local, extraído a través de un comando API y en caso que este no funcione usa una lista de DNS, cuya siguiente relación se encuentra cifrada en su código viral:

• 212.185.252.73
• 212.185.253.70
• 212.185.252.136
• 194.25.2.129
• 194.25.2.130
• 195.20.224.234
• 217.5.97.137
• 194.25.2.129
• 193.193.144.12
• 212.7.128.162
• 212.7.128.165
• 193.193.158.10
• 194.25.2.131
• 194.25.2.132
• 194.25.2.133
• 194.25.2.134
• 193.141.40.42
• 145.253.2.171
• 193.189.244.205
• 213.191.74.19
• 151.189.13.35
• 195.185.185.195
• 212.44.160.8

Los mensajes tienen estas características:

Remitente, usa la técnica Spoofing que disfraza las verdaderas direcciones.

Asunto: Delivery failure notice ID-[letras_y_números_aleatorios] 

Contenido:

La [palabra_aleatoria] puede ser una de las siguientes:

• New
• Partial
• External
• Delivered

Anexado: www.[dominio].[usuario].session-[8_caracteres_aleatorios].com

El [dominio] y [usuario] son extraídos del sistema infectado y [8_caracteres_aleatorios] son generados en la forma de cadenas alfanuméricas. 

Al ser activado el gusano crea el mutex (Exclusión Mutua) ____--->>>>U<<<<--____ para evitar ser ejecutado en memoria más de una vez. 

Luego se libera y se auto-copia al directorio %Windir% con los nombres de archivos:  

• FirewallSvr.exe de 25.5 KB (copia del gusano)
• Fuck_you_bagle.txt de 35 KB (copia del gusano codificada en formato base64) 

y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FirewallSvr" = "%Windir%\FirewallSvr.exe" 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000 

Actuando como Backdoor abre el puerto TCP 82 (XFER Utility) y recibe comandos del autor del virus, en forma remota.

Está programado para ejecutar un ataque DoS del 28 al 30 de Abril del 2004 a los siguientes dominios:

• www.educa.ch
• www.medinfo.ufl.edu 
• www.nibis.de  

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo a direcciones de archivos de determinadas extensiones. 
• Usa la técnica Spoofing que disfraza la dirección de los Remitentes. 
• Los Asuntos y Contenidos están compuestos por valores aleatorios.
• Abre el puerto TCP 82 y recibe comandos en forma remota.
• Está programado para ocasionar un ataque DoS del 28 al 30 de Abril a diversos dominios. 

PER ANTIVIRUS® versión 8.6 con registro de virus al 21 de Abril del 2004 detecta y elimina eficientemente este gusano/backdoor.