Netsup

NETSUP, gusano de Correo y redes Peer to Peer Kazaa y Shareaza de alta propagación masiva.

W32/Netsup@mm, I.worm.netsup@mm

Netsup es un gusano reportado el 31 de Mayo del 2004, sin efectos destructivos, de alta propagación masiva a través de mensajes de correo con un archivo anexado de nombre message.eml.pif. También se difunde vía las populares redes Peer to Peer Kazaa y Shareaza.

Usa su propio SMTP para enviarse a la Libreta de Direcciones de MS Outlook y en forma aleatoria como NetworkSupport@[dominio_del_remitente]

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Visual C++, con una extensión de 21.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Los mensajes tienen las siguientes características:

Remitente: se envía a todos los buzones contenidos en la Libreta de Direcciones de MS Outlook y en forma aleatoria usando la técnica Email spoofing, lo hace como NetworkSupport@[dominio_del_remitente]

Asunto, uno de los siguientes:

Tragedy
Protecting your PC
This pic of you is funny
W32.Netsky and W32.Beagle protection
Finances for the week
Mail Delivery Subsystem Error
Careful
Undeliverable Message
Mail Delivery Failed

Contenido:

A message sent could not be delivered to one or more of its recipients correctly. This is a permanent error. Attached is a copy of the original message.

Anexado: message.eml.pif

Al ejecutar el archivo, el gusano se auto-copia a la carpeta %System% como msnmsgs.exe y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgs" = "%System%\msnmsgs.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para infectar a través de la redes Peer to Peer Kazaa o Shareaza se auto-copia a sus correspondientes carpetas con los siguientes nombres:

The Sims Family Alien Skins.exe
Britney Spears Dance Beat cheat.exe
The Sims Christina Aguilera Skin.exe
The Sims Britney Spears Skin.exe
BitTorrent_Upload_Capper_DonaTellO.exe
MaxPayne 2 1.01 patch crack.exe
MSN_Messenger_6_Ad_Remover_fRankO.exe
CDRWin.v5.0.Keygen-ORiON.ShareReactor.exe
VMware-KEYGEN-workstation-4.0.0-4460.exe
Winzip_password_cracker.Nero_4_Ultra_Keygen_deviance.exe
Winrar.3.2x.dosrar.3.2x.crack-tsrh.exe
Adobe_Photoshop_7_keygen_Dimitri.exe
Opera_v7.20 crack.exe
NwN_v161_NoCD_patch-unpatch.exe
flashfxp.2.1.build.824.crack-tsrh.exe

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook o usando la técnica Spoofing simula el nombre NetworkSupport@[dominio_del_remitente]
Los Asuntos son aleatorios elegidos de una relación contenida en el código del virus.
El archivo Anexado, de doble extensión, libera un archivo .EXE
Usa su propio motor SMTP para el auto-envío masivo de mensajes.
Se propaga además a través de las redes Peer to Peer Kazaa o Shareaza.

PER ANTIVIRUS® versión 8.6 y 8.7 con registro de virus al 31 de Mayo del 2004 detecta y elimina este gusano.