VSantivirus No. 1362 Año 8, lunes 29 de marzo de 2004
W32/Netsky.R. Puede ejecutarse sin abrir el mensaje
http://www.vsantivirus.com/netsky-r.htm
Nombre: W32/Netsky.R
Tipo: Gusano de Internet
Alias: Netsky.R, I-Worm.NetSky.r, Win32/Netsky.R, W32.Netsky.Q@mm, W32/Netsky.q@MM, WORM_NETSKY.Q, Win32/Netsky.Q.Worm, W32/Netsky.Q@mm, W32/Netsky.q@MM, WORM_NETSKY.GEN, W32/BinNote.a@MM,
Worm.SomeFool.Q
Fecha: 29/mar/04
Plataforma: Windows 32-bit
Tamaño: 28,008 bytes (PEtite)
Variante del gusano Netsky reportada el 29 de marzo de 2004. Se propaga por correo electrónico con numerosos asuntos y textos. El adjunto es un nombre al azar seguido de varios números y con extensión .EXE, .PIF, .SCR, o .ZIP.
El gusano se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o verlo en el panel de vista previa (MIME header vulnerability). El mensaje modifica el encabezado MIME del mail, especificando que el adjunto se corresponde con uno de los tipos de extensión que el programa maneja en forma incorrecta, ejecutándolo. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados (fue corregido por Microsoft en marzo de 2001).
Cuando se ejecuta, el gusano se copia a sí mismo en el directorio de Windows:
c:\windows\sysmonxp.exe
c:\windows\firewalllogger.txt
FIREWALLLOGGER.TXT es en realidad un archivo .DLL (librería dinámica). El .EXE llama a este .DLL (que incluye una sola función), y lo ejecuta.
También crea los siguientes archivos:
c:\windows\base64.tmp
c:\windows\zipo0.txt
c:\windows\zipo1.txt
c:\windows\zipo2.txt
c:\windows\zipo3.txt
c:\windows\zippedbase64.tmp
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
El gusano crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysMonXP = c:\windows\sysmonxp.exe
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:
.a
.ad
.adb
.as
.asp
.c
.cf
.cfg
.cg
.cgi
.d
.db
.dbx
.dh
.dht
.dhtm
.do
.doc
.e
.em
.eml
.h
.ht
.htm
.html
.j
.js
.jsp
.m
.mb
.mbx
.md
.mdx
.mh
.mht
.mm
.mmf
.ms
.msg
.n
.nc
.nch
.o
.od
.ods
.of
.oft
.p
.ph
.php
.pl
.pp
.ppt
.r
.rt
.rtf
.s
.sh
.sht
.shtm
.st
.stm
.t
.tb
.tbb
.tx
.txt
.u
.ui
.uin
.v
.vb
.vbs
.w
.wa
.wab
.ws
.wsh
.x
.xl
.xls
.xm
.xml
Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo, enviando mensajes con las siguientes características, a las direcciones obtenidas antes:
De: [remitente falso]
Cualquier dirección de las obtenidas por el gusano en la máquina infectada.
Asunto: [uno de los siguientes]
Deliver Mail [dirección destinatario]
Delivered Message [dirección destinatario]
Delivery [dirección destinatario]
Delivery Bot [dirección destinatario]
Delivery Error [dirección destinatario]
Delivery Failed [dirección destinatario]
Delivery Failure [dirección destinatario]
Error [dirección destinatario]
Failed [dirección destinatario]
Failure [dirección destinatario]
Mail Delivery failure [dirección destinatario]
Mail Delivery System [dirección destinatario]
Mail System [dirección destinatario]
Server Error [dirección destinatario]
Status [dirección destinatario]
Unknown Exception [dirección destinatario]
Ejemplos:
Deliver Mail ana@dominio.com
Failure juan@dominio.com
Texto del mensaje: [1]+[2]+[3]+[4]
Donde [1] es una de las siguientes líneas:
Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted
[2] es lo siguiente:
------------- failed message -------------
[más caracteres al azar]
[3] es uno de los siguientes textos:
Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a
binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.
Y finalmente [4] es lo siguiente:
Or you can view the message at:
www.[dominio]/inmail/[usuario]/mread.php?
sessionid-[número al azar]
Donde [dominio] es el dominio de la dirección del destinatario (lo que va después de la arroba), y [usuario] el nombre de la cuenta:
[usuario]@[dominio] = jose@dominio.com
Ejemplo:
Or you can view the message at:
www.dominio.com/inmail/jose/mread.php?
sessionid-324768
Datos adjuntos: [1]+[2]+[3]
Donde [1] es uno de los siguientes elementos:
data
mail
msg
message
[2] son varios números al azar y [3] es la extensión .PIF o .ZIP. En ocasiones no se agrega el elemento [2].
Si el adjunto es un archivo comprimido (.ZIP), el nombre del archivo que contiene puede ser uno de los siguientes:
data.eml[100 espacios vacíos].scr
mail.eml[100 espacios vacíos].scr
msg.eml[100 espacios vacíos].scr
message.eml[100 espacios vacíos].scr
Los 100 espacios vacíos esconden la verdadera extensión de los archivos, ya que la misma queda oculta en la ventana que los muestra.
El adjunto con extensión .PIF, puede ejecutarse al leer el mensaje o al verlo en el panel de vista previa, en equipos con Internet Explorer 5.5 o inferior, sin los parches correspondientes. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados (fue corregido por Microsoft en marzo de 2001).
Ver: Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm
El gusano posee su propio motor SMTP, y para el envío de los mensajes consulta al servidor de nombres configurado en la conexión actual.
Evita enviarse a direcciones que contengan estas cadenas:
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
Si el nombre del archivo no es SYSMONXP.EXE (por ejemplo, es el nombre del adjunto), el gusano abre el bloc de notas al ejecutarse (NOTEPAD.EXE), e intenta mostrar un archivo de texto llamado TEMP.EML, que no existe.
Crea un mutex llamado "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_" para no ejecutarse más de una vez en memoria.
El gusano intenta eliminar los datos agregados en el registro por otros gusanos.
En un hilo de ejecución independiente, el gusano examina la fecha y hora actual del sistema. Si se está ejecutando a las 5:11 de la mañana del 30 de marzo, emitirá varios sonidos por el altavoz del sistema.
Los días 8, 9, 10 y 11 de abril de 2004, intentará ataques de denegación de servicio a los siguientes sitios:
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cracks.am
www.cracks.st
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\base64.tmp
c:\windows\firewalllogger.txt
c:\windows\sysmonxp.exe
c:\windows\zipo0.txt
c:\windows\zipo1.txt
c:\windows\zipo2.txt
c:\windows\zipo3.txt
c:\windows\zippedbase64.tmp
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre
la siguiente entrada:
SysMonXP
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
09/07/04 - 14:16 -0300 (Alias: Worm.SomeFool.Q)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|