Detalles técnicos

• Nombre completo del virus: Worm.W32/Netsky.D@MM
• Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
• Plataformas afectadas: Multi: Afecta a las plataformas W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 / 2000 Microsoft Windows 2000 / 95 Microsoft Windows 95 / 98 Microsoft Windows 98 / Me Microsoft Windows Millennium / NT Microsoft Windows NT / 2003 Microsoft Windows Server 2003 / XP Microsoft Windows XP
• Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Tamaño (bytes): 17.424
• Alias:

Arriba

Propagación

Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Arriba

Infección/Efectos

Cuando Netsky.D se ejecuta, realiza las siguientes acciones:

Otros detalles

Cuando se ejecuta este gusano realiza las siguientes acciones:

1. Se copia a sí mismo como %Windir%\winlogon.exe (por defecto, %Windir% vale C:\Windows o C:\Winnt).
2. Añade el valor:

    "ICQ Net" = "%Windir%\winlogon.exe -stealth" 

   a la clave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

   para que así el gusano se ejecute cada vez que se arranca Windows.

3. Borra los valores:
   • Taskmon
   • Explorer
   • Windows Services Host
   • KasperskyAV

   de las claves del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

4. Borra los valores:
   • System.
   • msgsvr32
   • DELETE ME
   • service
   • Sentry

   de la clave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

   Borra los valores:

   • d3dupdate.exe
   • au.exe
   • OLE

   de la clave del registro:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

5. Borra el valor:

    System. 

   de la clave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 

6. Borra las claves del registro:

    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch 

7. Si son las 6, 7 u 8 de la mañana de un martes de marzo de 2004, el gusano hace sonar los altavoces del PC durante un periodo de tiempo aleatorio y con sonidos también aleatorios.
8. Para encontrar direcciones de correo a las que el gusano pueda enviarse a sí mismo, escanea los siguientes tipos de ficheros en todas las carpetas del sistema:
   • .dhtm
   • .cgi
   • .shtm
   • .msg
   • .oft
   • .sht
   • .dbx
   • .tbb
   • .adb
   • .doc
   • .wab
   • .asp
   • .uin
   • .rtf
   • .vbs
   • .html
   • .htm
   • .pl
   • .php
   • .txt
   • .eml
9. Usa su propio motor SMTP para enviarse a todas las direcciones encontradas de esta manera.
10. El correo que envía tiene las siguientes características:

    Asunto (uno de los siguientes)

    • Re: Your website
    • Re: Your product
    • Re: Your letter
    • Re: Your archive
    • Re: Your text
    • Re: Your bill
    • Re: Your details
    • Re: My details
    • Re: Word file
    • Re: Excel file
    • Re: Details
    • Re: Approved
    • Re: Your software
    • Re: Your music
    • Re: Here
    • Re: Re: Re: Your document
    • Re: Hello
    • Re: Hi
    • Re: Re: Message
    • Re: Your picture
    • Re: Here is the document
    • Re: Your document
    • Re: Thanks!
    • Re: Re: Thanks!
    • Re: Re: Document
    • Re: Document

    Cuerpo del mensaje: (uno de los siguientes)

    • Your file is attached.
    • Please read the attached file.
    • Please have a look at the attached file.
    • See the attached file for details.
    • Here is the file.
    • Your document is attached.

    Adjunto: (uno de los siguientes)

    • your_website.pif
    • your_product.pif
    • your_letter.pif
    • your_archive.pif
    • your_text.pif
    • your_bill.pif
    • your_details.pif
    • document_word.pif
    • document_excel.pif
    • my_details.pif
    • all_document.pif
    • application.pif
    • mp3music.pif
    • yours.pif
    • document_4351.pif
    • your_file.pif
    • message_details.pif
    • your_picture.pif
    • document_full.pif
    • message_part2.pif
    • document.pif
    • your_document.pif
11. El gusano no se enviará a direcciones de correo que contengan alguna de las siguientes cadenas dentro de la dirección misma:
    • skynet
    • messagelabs
    • abuse
    • fbi
    • orton
    • f-pro
    • aspersky
    • cafee
    • orman
    • itdefender
    • f-secur
    • avp
    • spam
    • ymantec
    • antivi
    • icrosoft
12. :

    Netsky.D contiene una lista de direcciones IP que pertenecen a servidores DNS, que emplea para resolver los dominios de los servidores de correo de los destinatarios. Aunque dicha lista contiene veinticinco elementos, dos de ellos están repetidos: 62.155.255.16, 145.253.2.171, 151.189.13.35, 193.141.40.42, 193.189.244.205, 193.193.144.12, 193.193.158.10, 194.25.2.129, 194.25.2.129, 194.25.2.130, 194.25.2.131, 194.25.2.132, 194.25.2.133, 194.25.2.134, 195.185.185.195, 195.185.185.195, 195.20.224.234, 212.185.252.136, 212.185.252.73, 212.185.253.70, 212.44.160.8, 212.7.128.162, 212.7.128.165, 213.191.74.19, 217.5.97.137.

    Netsky.D está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano está comprimido mediante Petite v2.2.

    Netsky.D crea el mutex [SkyNet.cz]SystemsMutex, para asegurarse de que no se ejecuta varias veces al mismo tiempo.

    El código de este gusano contiene el siguiente texto, aunque no es mostrado en ningún momento:

     be aware! Skynet.cz - -->AntiHacker Crew 

Arriba

Contramedidas