Detalles técnicos

• Nombre completo del virus: Worm.W32/Netsky.P@MM+P2P
• Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
• Plataformas afectadas: Multi: Afecta a las plataformas W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 / 2000 Microsoft Windows 2000 / 95 Microsoft Windows 95 / 98 Microsoft Windows 98 / Me Microsoft Windows Millennium / NT Microsoft Windows NT / 2003 Microsoft Windows Server 2003 / XP Microsoft Windows XP
• Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado. + P2P Se difunde por redes de compartición de ficheros P2P (peer to peer).
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Tamaño (bytes): 29.568
• Alias:

Arriba

Propagación

Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Arriba

Infección/Efectos

Cuando Netsky.P se ejecuta, realiza las siguientes acciones:

Otros detalles

Este gusano utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.

Puede obtener mayor infomación sobre esta vulnerabilidad en el siguiente enlace:
http://download.nai.com/products/mcafee-avert/stinger.exe?

Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:

1. Crea el mutex "_-oO]xX -S-k-y-N-e-t- Xx[Oo-_" para asegurarse de no ser ejecutado varias veces al mismo tiempo.
   
   
2. Se copia a sí mismo como %Windir%\FVProtect.exe .
   
   Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt ) y se replica en esa ubicación.
   
   
3. Deposita y ejecuta en el sistema, el fichero %Windir%\userconfig9x.dll (26.624 Bytes).
   
   
4. Crea los siguientes ficheros en ese mismo directorio %Windir% :
   • base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
   • zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
   • zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
   • zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
   • zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)
   
   
5. Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado a la siguiente clave del registro de Windows:

     Clave:  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  Valor:  "Norton Antivirus AV"="%Windir%\FVProtect.exe" 

6. Elimina los valores indicados de las siguientes claves del registro de Windows:

     Clave:  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  Valores:  Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry  Clave:  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices  Valores:  system Video  Clave:  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  Valores:  Explorer au.exe direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe 

7. Elimina las siguientes subclaves del registro de Windows:

     Subclaves:  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 

8. Realiza una búsqueda en todo el disco duro del sistema infectado.
   Si los nombres de directorio que encuentra, contienen alguna de las siguientes cadenas de caracteres:
   • shared files
   • kazaa
   • mule
   • donkey
   • morpheus
   • lime
   • bear
   • icq
   • shar
   • upload
   • http
   • htdocs
   • ftp
   • download
   • my shared folder
   
   el gusano se copia a sí mismo en esos directorios con alguno de los siguientes nombres:
   
   • Kazaa Lite 4.0 new.exe
   • Britney Spears Sexy archive.doc.exe
   • Kazaa new.exe
   • Britney Spears porn.jpg.exe
   • Harry Potter all e.book.doc.exe
   • Britney sex xxx.jpg.exe
   • Harry Potter 1-6 book.txt.exe
   • Britney Spears blowjob.jpg.exe
   • Harry Potter e book.doc.exe
   • Britney Spears cumshot.jpg.exe
   • Harry Potter.doc.exe
   • Britney Spears fuck.jpg.exe
   • Harry Potter game.exe
   • Britney Spears.jpg.exe
   • Harry Potter 5.mpg.exe
   • Britney Spears and Eminem porn.jpg.exe
   • Matrix.mpg.exe
   • Britney Spears Song text archive.doc.ex...
   • Britney Spears full album.mp3.exe
   • Eminem.mp3.exe
   • Britney Spears.mp3.exe
   • Eminem Song text archive.doc.exe
   • Eminem Sexy archive.doc.exe
   • Eminem full album.mp3.exe
   • Eminem Spears porn.jpg.exe
   • Ringtones.mp3.exe
   • Eminem sex xxx.jpg.exe
   • Ringtones.doc.exe
   • Eminem blowjob.jpg.exe
   • Altkins Diet.doc.exe
   • Eminem Poster.jpg.exe
   • American Idol.doc.exe
   • Cloning.doc.exe
   • Saddam Hussein.jpg.exe
   • Arnold Schwarzenegger.jpg.exe
   • Windows 2003 crack.exe
   • Windows XP crack.exe
   • Adobe Photoshop 10 crack.exe
   • Microsoft WinXP Crack full.exe
   • Teen Porn 15.jpg.pif
   • Adobe Premiere 10.exe
   • Adobe Photoshop 10 full.exe
   • Best Matrix Screensaver new.scr
   • Porno Screensaver britney.scr
   • Dark Angels new.pif
   • XXX hardcore pics.jpg.exe
   • Microsoft Office 2003 Crack best.exe
   • Serials edition.txt.exe
   • Screensaver2.scr
   • Full album all.mp3.pif
   • Ahead Nero 8.exe
   • netsky source code.scr
   • E-Book Archive2.rtf.exe
   • Doom 3 release 2.exe
   • How to hack new.doc.exe
   • Learn Programming 2004.doc.exe
   • WinXP eBook newest.doc.exe
   • Win Longhorn re.exe
   • Dictionary English 2004 - France.doc.ex...
   • RFC compilation.doc.exe
   • 1001 Sex and more.rtf.exe
   • 3D Studio Max 6 3dsmax.exe
   • Keygen 4 all new.exe
   • Windows 2000 Sourcecode.doc.exe
   • Norton Antivirus 2005 beta.exe
   • Gimp 1.8 Full with Key.exe
   • Partitionsmagic 10 beta.exe
   • Star Office 9.exe
   • Magix Video Deluxe 5 beta.exe
   • Clone DVD 6.exe
   • MS Service Pack 6.exe
   • ACDSee 10.exe
   • Visual Studio Net Crack all.exe
   • Cracks & Warez Archiv.exe
   • WinAmp 13 full.exe
   • DivX 8.0 final.exe
   • Opera 11.exe
   • Internet Explorer 9 setup.exe
   • Smashing the stack full.rtf.exe
   • Ulead Keygen 2004.exe
   • Lightwave 9 Update.exe
   • The Sims 4 beta.exe
   
   
9. Recopila direcciones de correo electrónico incluidas en ficheros con las siguientes extensiones localizados en las unidades desde la C: a la Z: .
   • .adb
   • .asp
   • .cgi
   • .dbx
   • .dhtm
   • .doc
   • .eml
   • .htm
   • .html
   • .jsp
   • .msg
   • .oft
   • .php
   • .pl
   • .rtf
   • .sht
   • .shtm
   • .tbb
   • .txt
   • .uin
   • .vbs
   • .wab
   • .wsh
   • .xml
   
   
10. Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas anteriormente.
    
    El mensaje enviado tiene las siguientes caracterísitcas:
    
    Remitente: - falsificado -
    
    Asunto: algunas posibilidades se muestran a continuación:
    • Re: Encrypted Mail
    • Re: Extended Mail
    • Re: Status
    • Re: Notify
    • Re: SMTP Server
    • Re: Mail Server
    • Re: Delivery Server
    • Re: Bad Request
    • Re: Failure
    • Re: Thank you for delivery
    • Re: Test
    • Re: Administration
    • Re: Message Error
    • Re: Error
    • Re: Extended Mail System
    • Re: Secure SMTP Message
    • Re: Protected Mail Request
    • Re: Protected Mail System
    • Re: Protected Mail Delivery
    • Re: Secure delivery
    • Re: Delivery Protection
    • Re: Mail Authentification
    
    Cuerpo del mensaje: algunas posibilidades se muestran a continuación:
    • Please see the attached file for details
    • Please read the attached file!
    • Your document is attached.
    • Please read the document.
    • Your file is attached.
    • Your document is attached.
    • Please confirm the document.
    • Please read the important document.
    • See the file.
    • Requested file.
    • Authentication required.
    • Your document is attached to this mail.
    • I have attached your document.
    • I have received your document. The corrected document is attached.
    • Your document.
    • Your details.
    
    Ficheros Anexos: algunas posibilidades se muestran a continuación:
    
    • document05
    • websites03
    • game_xxo
    • your_document
    
    seguido de una de las siguientes:
    
    • ".txt "
    • ".doc "
    
    seguido de una de las siguientes:
    
    • .exe
    • .pif
    • .scr
    • .zip
    
    Si la extensión del anexo es .exe , .scr o .pif , el anexo será una copia del gusano.
    En caso de que la extensión sea .zip , el anexo será un fichero comprimido que contiene un ejecutable del fichero. El nombre del fichero contenido en el .zip será uno de los siguientes:
    • "document.txt .exe"
    • "data.rtf .scr"
    • "details.txt .pif"
    
    
11. El gusano evita enviar el mensaje a direcciones de correo que contienen alguna de las siguientes cadenas de texto:
    • "@microsof"
    • "@antivi"
    • "@symantec"
    • "@spam"
    • "@avp"
    • "@f-secur"
    • "@bitdefender"
    • "@norman"
    • "@mcafee"
    • "@kaspersky"
    • "@f-pro"
    • "@norton"
    • "@fbi"
    • "abuse@"
    • "@messagel"
    • "@skynet"
    • "@pandasof"
    • "@freeav"
    • "@sophos"
    • "ntivir"
    • "@viruslis"
    • "noreply@"
    • "spam@"
    • "reports@"

Enlaces Asociados:

• http://www.enciclopediavirus.com/virus/vervirus.php?id=785 (Enciclopedia Virus)

Arriba

Contramedidas