Netsky.Z

NETSKY.Z, gusano/backdoor de Correo controla sistemas remotamente ocasiona ataques DoS, etc.

W32/Netsky.Z@mm, I-worm.netsky.Z@mm

Netsky.Z es un gusano/backdoor variante de la familia Netsky, de alta propagación a través de mensajes de Correo, reportado el 22 de Abril del 2004 con un archivo Anexado de nombre aleatorio con extensión .ZIP.

Los Asuntos son aleatorios y el Contenido es construido con el nombre del Anexado con la extensión .TXT, seguido de espacios en blanco y la extensión .EXE.

Abre el puerto TCP 665 a través del cual descarga y ejecuta archivos en los sistemas infectados, pudiendo tomar control de los mismos en forma remota.

Del 02 al 05 de Mayo intenta ocasionan ataques de Negación de Servicio (DoS) a 3 portales de la web.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.

Los Asuntos, Contenidos y archivos Anexados son aleatorios.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 22 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables), el mismo que ha sido modificado.

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

adb
asp
cfg
cgi
dbx
dhtm
doc
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
oft
php
ods
pl
ppt
rtf
sht
shtm
stm
tbb
txt
uin
vbs
wab
wsh
xls
xml

Los mensajes tienen estas características:

Remitente, usa la técnica Spoofing con nombres de Remitentes falsos.

Asunto, uno de las siguientes cadenas de texto:

Document
Hello
Hi
Important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
Information

Contenido, es un mensaje construido con el nombre del archivo Anexado con la extensión .TXT, seguido de espacios en blanco y la extensión .EXE:

Bill.txt[espacios_en_blanco].exe
Data.txt[espacios_en_blanco].exe
Details.txt[espacios_en_blanco].exe
Important.txt[espacios_en_blanco].exe
Informations.txt[espacios_en_blanco].exe
Notice.txt[espacios_en_blanco].exe
Part-2.txt[espacios_en_blanco].exe
Textfile.txt[espacios_en_blanco].exe

Anexado, uno de los siguientes:

Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip

Al ser activado el gusano el gusano crea el mutex (Exclusión Mutua) (S)(k)(y)(N)(e)(t) para evitar ser ejecutado en memoria más de una vez.

Luego se auto-copia al directorio %Windir% con el nombre Jammer2nd.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Run Jammer2nd" = "%Windir%\Jammer2nd.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Emplea el DNS (Domain Name Server) local, extraído a través de un comando API y en caso que este no funcione usa una lista de DNS, cuya siguiente relación se encuentra cifrada en su código viral:

145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137

Actuando como Backdoor abre el puerto TCP 665 (Sun DR), a través del cual permite descargar y ejecutar archivos en los sistemas infectados.

Finalmente del 02 al 05 de Mayo intentará ocasionar un ataque DoS a los siguientes sitios en la web:

www.nibis.de
www.medinfo.ufl.edu
www.educa.ch

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo a direcciones de archivos de determinadas extensiones.
Usa la técnica Spoofing para disfrazar a los nombres de los Remitentes.
Los Asuntos son aleatorios.
Los Contenidos son construidos aleatoriamente por el nombre del archivo anexado con la extensión .TXT, seguido de espacios en blanco y la extensión .EXE.
Los archivos anexados, con extensión ZIP son aleatorios.
Abre el puerto TCP 665 a través del cual descarga y ejecuta archivos en los sistemas infectados.
Del 02 al 05 de Mayo intenta ocasionar ataques de Negación de Servicios (DoS) a 3 portales de la web.

PER ANTIVIRUS® versión 8.6 con registro de virus al 22 de Abril del 2004 detecta y elimina eficientemente este gusano/backdoor.