Buscador
- | Inicio
- Seguridad
- INTECO-CERT
- Actualidad
- Virus
- Detalle de virus
Detalle de virus
Nueva variante de la familia de gusanos 'Netsky' que busca en todas las unidades del equipo infectado, excepto en las de CD-ROM, direcciones de correo electrónico. A continuación, se autoenvía a todas las direcciones de correo encontradas utilizando su propio motor SMTP (lo que le hace funcionar con independencia del cliente de correo instalado). El 'Remitente' del mensaje esta falsificado, y el 'Asunto', 'Cuerpo' y 'Anexo' son variables, aunque este último siempre tiene una extensión .zip.
Detalles técnicos
- Peligrosidad: 2 - Baja
- [Explicación de los criterios]
- Difusión: Baja
- Daño: Medio
- Dispersibilidad: Alta
- Fecha de alta: 22/04/2004
- Última actualización: 10/12/2009
- Nombre completo del virus: Worm.W32/Netsky.Z@MM
- Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
-
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
- Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Tamaño comprimido (bytes): 22.016
-
Alias:
- WORM_NETSKY.BO (Trend Micro)
- WORM_NETSKY.BI (Trend Micro)
- WORM_NETSKY.Z (Trend Micro)
- W32/Netsky-Z (Sophos)
- W32/Netsky.Z.worm (Panda Security)
- W32/Netsky.z@MM (McAfee)
- W32/Netsky.z@M (McAfee)
- W32/Netsky.z@MM!zip (McAfee)
- W32.Netsky.Z@mm (Symantec)
- Netsky.Z@mm (Symantec)
- Worm.SomeFool.Z (ClamAV)
- Email-Worm.Win32.Netsky.aa (F-Secure)
- I-Worm.Netsky.Z (Otros)
- Worm.SomeFool.Z (Otros)
- Win32.Netsky.AA@mm (Bit Defender)
- Netsky.Z@mm (Norman)
- I-Worm.NetSky.z (Kaspersky)
- Email-Worm.Win32.Netsky.aa (Kaspersky)
- Win32.Netsky.z (E-safe Aladdin)
- W32/Netsky.Z@mm (PerAntivirus)
- I-worm.netsky.Z@mm (PerAntivirus)
- Win32/Netsky.Z (Enciclopedia Virus)
- Win32/Netsky.Z (ESET)
- Worm/Netsky.Z (AVIRA)
Propagación
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Asunto: Alguno de los siguientes
-
Information
-
Important!
-
Important textfile!
-
Important notice!
-
Important informations!
-
Important document!
-
Important details!
-
Important data!
-
Important bill!
-
Important
-
Hi
-
Hello
Adjunto: Alguno de los mostrados a continuación
-
Textfile.zip
-
Part-2.zip
-
Notice.zip
-
Informations.zip
-
Important.zip
-
Details.zip
-
Data.zip
-
Bill.zip
Infección/Efectos
Cuando Netsky.Z se ejecuta, realiza las siguientes acciones:
Otros detalles
Cuando Worm.W32.Netsky.Z@MM es ejecutado, realiza las siguientes acciones:
- Se copia a sí mismo como %WinDir%\Jammer2nd.exe .
Nota: %Windir% es variable. El gusano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt ) y se replica en esa ubicación.
- Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Jammer2nd" = %WinDir%\JAMMER2ND.EXE
- Crea un mutex llamado "(S)(k)(y)(N)(e)(t)," para asegurarse de que únicamente una copia del gusano es ejecutada simultáneamente.
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.
- Deposita un fichero zip con el nombre %Windir%\PK_ZIPn.LOG (siendonun número entero), que contiene al propio gusano.
- Permanece en escucha a través del puerto TCP 665 para recibir un fichero ejecutable procedente de un atacante. Cuando sea descargado, ese ejecutable será automáticamente ejecutado.
- Si la fecha del sistema se encuentra entred el 2 y el 5 de Mayo de 2004, el gusano intentará realizar un ataque de Denegación de Servicios (DoS) contra los siguientes sitios web:
- www.nibis.de
- www.medinfo.ufl.edu
- www.educa.ch
Nota: La versión WORM_NETSKY.BO de Trend_Micro realiza el ataque de Denegación de Servicios (DoS) contra esos sitios Web, independientemente de la fecha del sistema.
- Busca en todas las unidades desde la C: hasta la Z: (excepto en las de CD-ROM), y recopila direcciones de correo electrónico que se encuentren en ficheros con cualquiera de las siguientes extensiones:
- .adb
- .asp
- .cfg
- .cgi
- .dbx
- .dhtm
- .doc
- .eml
- .htm
- .html
- .jsp
- .mbx
- .mdx
- .mht
- .mmf
- .msg
- .nch
- .oft
- .php
- .ods
- .pl
- .ppt
- .rtf
- .sht
- .shtm
- .stm
- .tbb
- .txt
- .uin
- .vbs
- .wab
- .wsh
- .xls
- .xml
- Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviarse a sí mismo a la dirección jamainlbbbsdef@yahoo.com , así como a todas las direcciones de correo recopiladas en el punto anterior.
El mensaje enviado tiene las siguientes características:
Remitente: - falsificado -
Asunto: uno de los siguientes:- Hello
- Hi
- Important
- Important bill!
- Important data!
- Important details!
- Important document!
- Important informations!
- Important notice!
- Important textfile!
- Important!
- Information
Fichero Anexo: (siempre con extensión .zip)- Bill.zip
- Data.zip
- Details.zip
- Important.zip
- Informations.zip
- Notice.zip
- Part-2.zip
- Textfile.zip
Dentro de estos ficheros comprimidos, se encuentran los ejecutables, que tienen respectivamente, los siguientes nombres:- Bill.txt ( - muchos espacios en blanco - ) .exe
- Data.txt ( - muchos espacios en blanco - ) .exe
- Details.txt ( - muchos espacios en blanco - ) .exe
- Important.txt ( - muchos espacios en blanco - ) .exe
- Informations.txt ( - muchos espacios en blanco - ) .exe
- Notice.txt ( - muchos espacios en blanco - ) .exe
- Part-2.txt ( - muchos espacios en blanco - ) .exe
- Textfile.txt ( - muchos espacios en blanco - ) .exe
Worm.W32.Netsky.Z@MM intenta utilizar el servidor DNS por defecto para conocer la dirección IP del servidor de correo. Por ejemplo, si la dirección de correo es alguien@dominio.es , el gusano intentará recuperar la dirección IP del servidor dominio.es .
En caso de fallar, intentará utilizar uno de los siguientes servidores DNS:- 145.253.2.171
- 151.189.13.35
- 193.141.40.42
- 193.189.244.205
- 193.193.144.12
- 193.193.158.10
- 194.25.2.129
- 194.25.2.130
- 194.25.2.131
- 194.25.2.132
- 194.25.2.133
- 194.25.2.134
- 195.185.185.195
- 195.20.224.234
- 212.185.252.136
- 212.185.252.73
- 212.185.253.70
- 212.44.160.8
- 212.7.128.162
- 212.7.128.165
- 213.191.74.19
- 217.5.97.137
Contramedidas
Desinfección
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. - En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano se ejecute automáticamente cada vez que el sistema es reiniciado, elimine el valor indicado de la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Jammer2nd" = %WinDir%\JAMMER2ND.EXE
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
