|
VSantivirus No. 1341 Año 8, martes 9 de marzo de 2004
W32/Netsky.K. Se propaga por correo electrónico
http://www.vsantivirus.com/netsky-k.htm
Nombre: W32/Netsky.K
Tipo: Gusano de Internet
Alias: Netsky.K, Moodown.K, I-Worm.Moodown.k, Win32/Netsky.K, W32/Netsky.k@MM, W32/Netsky.K.worm, WORM_NETSKY.K, W32/Netsky-K, Win32.Netsky.K, W32/Netsky.K, W32.Netsky.K@mm, W32/Netsky.K@mm, Win32/Netsky.K.Worm, I-Worm.Netsky.gen, W32.Netsky.J@mm,
Worm.SomeFool.J, Worm.SomeFool.K
Fecha: 8/mar/04
Plataforma: Windows 32-bit
Tamaño: 27,648 bytes (tElock)
Nueva versión del Netsky, reportado el 8 de marzo de 2004.
Cuando se ejecuta, el gusano se copia a sí mismo en el directorio de Windows:
c:\windows\avpguard.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
My AV = c:\windows\avpguard.exe -av serv
También borra diferentes entradas creadas por otros gusanos, como Mydoom y Mimail, así como de antiguas versiones del propio Netsky.
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo, enviando mensajes con las siguientes características:
De: [remitente falso]
Asunto: [uno de los siguientes]
[nombre]
Best [nombre]
Dear [nombre]
Good morning [nombre]
Have a good day [nombre]
He [nombre]
Hello [nombre]
Hello [nombre], your letter
Hey [nombre]
Hi
Hi [nombre]
Hi [nombre], your product
Hi Mr. [nombre]
Hi Mrs. [nombre]
Is [nombre].doc yours?
Is [nombre].xls yours?
Love [nombre]
Message to [nombre]
Moi [nombre]
Moin [nombre]
Na [nombre]
Re: [nombre], thanks!
Re: [nombre], your text
Re: Approved
Re: corrected homework
Re: Dear [nombre], Here
Re: Dear [nombre], Hi
Re: excel document
Re: Hello [nombre], Approved
Re: Hello [nombre], document
Re: Hello [nombre], my details
Re: Hello [nombre], your bill
Re: Hello [nombre], your document
Re: Hello [nombre], your excel file
Re: Hello [nombre], your software
Re: hello again
Re: Here [nombre], your picture
Re: Hi [nombre]
Re: Hi [nombre], details
Re: Hi [nombre], here is the document
Re: Hi [nombre], your archive
Re: Hi [nombre], your details
Re: Hi [nombre], your music
Re: Hi [nombre], your word file
Re: hi again
Re: important
Re: important document part 2
Re: I've found your document
Re: My details
Re: my memberlist
Re: part 3
Re: Re: [nombre], thanks!
Re: Re: Hi [nombre], your message
Re: Re: Hi [nombre], document
Re: Re: Re: Hello [nombre], your document
Re: Re: Re: word document
Re: Read it immediately
Re: Your application
Re: Your bill
Re: Your data
Re: Your details
Re: Your document
Re: Your file
Re: Your important document
Re: your music
Re: Your requested file
Re: Your software
To [nombre] , it's me
Welcome [nombre]
Whats up [nombre]
www.[nombre].freepage.com, your website
www.[nombre].tripod.com
www.paypal.com/[nombre]
Your account [nombre] is expired!
Your letter
Your product
Yours faithfully, [nombre]
Donde [nombre] es el mismo de la dirección de correo del destinatario del mensaje. Por ejemplo, si el usuario tiene la dirección "pepe@dominio.com", el asunto será "Good morning pepe", "Re: pepe, thanks!", "Your account pepe is expired!", etc.
Texto del mensaje: [uno de los siguientes]
- Here is the file. My password is [número].
- I have an interesting document about you.
- I have corrected your document.
- My details are in the attached file.
- Note that I have attached your file.
- Please do not forget to read the important document.
- Please have a look at the attached file. Password for decrypting is [número].
- Please read the attached file. Password for the file is [número].
- Please read the document. It's important.
- See the attached file for details. Password is [número].
- See the attachment for further details.
- The important document is attached.
- The sample is attached.
- Your document is attached to this mail.
- Your document is attached. Your password is [número].
- Your file is attached to this mail.
- Your file is attached. Use this password for the file: [número].
- Your personal document is attached.
Donde [número] es un entero de varios dígitos seleccionado al azar.
Datos adjuntos: [seleccionado al azar de la siguiente lista]:
[nombre]_all_document.pif
[nombre]_application.pif
[nombre]_details.pif
[nombre]_document_excel.pif
[nombre]_document_full.pif
[nombre]_document_word.pif
[nombre]_file.pif
[nombre]_message_details.pif
[nombre]_my_details.pif
[nombre]_picture.pif
[nombre]_your_document.pif
[nombre]_your_message_part2.pif
[nombre]document.pif
[nombre]information.pif
archive[nombre].pif
bill_[nombre].pif
document_[nombre]4351.pif
letter_[nombre].pif
mp3music_[nombre].pif
website_[nombre].pif
your_details[nombre].pif
your_product_[nombre].pif
your_text[nombre].pif
yourpicture[nombre].pif
yours[nombre].pif
Donde [nombre] es el mismo de la dirección de correo del destinatario del mensaje. Por ejemplo, si el usuario tiene la dirección "pepe@dominio.com", el nombre del archivo adjunto será "pepe_all_document.pif", "archivepepe.pif", etc.
El gusano evita enviar mensajes a direcciones que contengan cualquiera de las siguientes cadenas:
abuse
andasoftwa
antivi
antivir
aspersky
avp
cafee
fbi
f-pro
freeav
f-secur
icrosoft
iruslis
itdefender
messagelabs
orman
orton
skynet
sophos
spam
ymantec
Posee su propio motor SMTP, y si durante el envío de los mensajes, falla en consultar al servidor de nombres configurado en la conexión actual, entonces lo intenta con servidores DNS localizados en las siguientes direcciones:
145.253.2.171
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16
151.189.13.35
Si el gusano se ejecuta entre las 10 y las 11 de la mañana del 10 de marzo de 2004, se producen una serie de beeps continuos a través del PCSpeaker.
El 13 de marzo, cuando se ejecuta el gusano, el mismo muestra una ventana con el siguiente mensaje:
SkyNet has the full control of your system now
El 16 de marzo de 2004, el gusano se pone a la escucha por el puerto 26 del equipo infectado, quedando a la espera de alguna conexión remota. Si la conexión se produce, el gusano borra su propia entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\My AV
Al mismo tiempo, muestra una ventana con el siguiente mensaje:
Please remove the file avpguard.exe from your
Windows-Directory and do not open attachments
anymore. It can be a virus like bagle and mydoom
or similar malicios code.
This is the Skynet-Antivirus!
Este proceso se reitera en forma continua cada 5 segundos, hasta que se corte la conexión con Internet.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\avpguard.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre
la siguiente entrada:
My AV
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
09/07/04 - 13:09 -0300 (Alias: Worm.SomeFool.J)
09/07/04 - 13:09 -0300 (Alias: Worm.SomeFool.K)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|