Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Netsky.T. Puede descargar y ejecutar un archivo
 
VSantivirus No. 1370 Año 8, martes 6 de abril de 2004

W32/Netsky.T. Puede descargar y ejecutar un archivo
http://www.vsantivirus.com/netsky-t.htm

Nombre: W32/Netsky.T
Tipo: Gusano de Internet
Alias: Netsky.T, I-Worm.NetSky.t, Win32/Netsky.T, W32/Netsky-S, W32.Netsky.S@mm, W32/Netsky.s@MM, WORM_NETSKY.S, Win32/Netsky.S.Worm, W32/Netsky.S@mm, W32/Netsky.s@MM, WORM_NETSKY.GEN,
Worm.SomeFool.S
Fecha: 5/abr/04
Plataforma: Windows 32-bit
Tamaño: 18,432 bytes (UPX)
Puerto: TCP/6789

Variante del gusano Netsky reportada el 5 de abril de 2004. Se propaga por correo electrónico con numerosos asuntos y textos. El adjunto es un nombre al azar seguido de un número del cero al 9, y la extensión .PIF.

A diferencia de las anteriores, esta variante no se propaga por redes P2P, ni intenta desinstalar a ningún otro gusano.

También agrega un componente troyano de acceso remoto por puerta trasera (backdoor), que permite a un atacante descargar y ejecutar un archivo en la máquina infectada.

Cuando se ejecuta por primera vez, el gusano crea los siguientes archivos en el directorio de Windows:

c:\windows\easyav.exe
c:\windows\uinmzertinmds.opm

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

El gusano crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EasyAV = c:\windows\easyav.exe

El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.msg
.nch
.ods
.oft
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.sys
.tbb
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml

Si la fecha actual es 14, 15, o 16 de abril de 2004, el gusano no se propaga. En cualquier otra fecha, utiliza su propio motor SMTP para enviarse a si mismo, enviando mensajes con las siguientes características, a las direcciones obtenidas antes:

De: [remitente falso]

Cualquier dirección de las obtenidas por el gusano en la máquina infectada. En ocasiones puede usar la siguiente:

hanta@chiva.net

Asunto: [uno de los siguientes]

[cadena al azar]
Approved
Hello!
Hi!
Important
My details
Re: <random strings>
Re: Approved
Re: Hello
Re: Hi
Re: Important
Re: My details
Re: Request
Re: Thanks you!
Re: Your details
Re: Your document
Re: Your information
Request
Thank you!
Your details
Your document
Your information

Texto del mensaje: [1]+[2]+[3]+[4]

Donde [1] es uno de los siguientes componentes:

[nada]
Hello!
Hi!

El componente [2] es seleccionado de esta lista:

Approved, here is the document.
For more details see the attached document.
For more information see the attached document.
Here is the [nombre del adjunto].
Here is the document.
I have found the [nombre del adjunto].
I have sent the [nombre del adjunto].
I have spent much time for the [nombre del adjunto].
I have spent much time for your document.
My [nombre del adjunto] is attached.
My [nombre del adjunto].
Note that I have attached your document.
Please have a look at the [nombre del adjunto].
Please have a look at the attached document.
Please notice the attached [nombre del adjunto].
Please notice the attached document.
Please read quickly.
Please read the [nombre del adjunto].
Please read the attached document.
Please see the [nombre del adjunto].
Please, [nombre del adjunto].
See the document for details.
The [nombre del adjunto] is attached.
The [nombre del adjunto].
The requested [nombre del adjunto] is attached!
Your [nombre del adjunto] is attached.
Your [nombre del adjunto].
Your file is attached to this mail.

El componente [3] puede ser uno de los siguientes (o no existir):

Thank you
Thanks
Yours sincerely

Y el componente [4] es uno de los siguientes:

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Panda OnlineAntiVirus
+++ Website: www.pandasoftware.com

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new MCAfee OnlineAntiVirus
+++ Homepage: www.mcafee.com

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new F-Secure OnlineAntiVirus
+++ Visit us: www.f-secure.com

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Norton OnlineAntiVirus
+++ Free trial: www.norton.com

Datos adjuntos: [caracteres al azar]+[número al azar 0 a 9].pif

Donde [caracteres al azar] puede ser alguno de los siguientes textos:

abuse_list
account
answer
approved_document
approved_file
archive
concept
contact_list
corrected_document
description
detailed_document
details
developement
diggest
document
e-mail
excel_document
final_version
homepage
icq_number
important_document
improved_document
improved_file
information
instructions
letter
message
movie_document
new_document
notice
number_list
old_document
order
personal_message
phone_number
photo_document
picture_document
postcard
powerpoint_document
presentation_document
release
report
requested_document
sample
secound_document
story
summary
textfile
user_list
word_document

En un hilo de ejecución independiente, el gusano examina la fecha y hora actual del sistema. Entre los días 14 y 23 de abril de 2004, intentará ataques de denegación de servicio a los siguientes sitios:

www.cracks.am
www.emule.de
www.freemule.net
www.kazaa.com
www.keygen.us

Posee un componente backdoor, que una vez ejecutado, queda a la escucha por el puerto TCP/6789, pudiendo recibir comandos de un usuario remoto. El atacante también puede enviar un archivo, y luego ejecutarlo.

Crea dos mutex, uno para cada uno de los procesos simultáneos que ejecuta. Utiliza dos hilos simultáneos de ejecución, de tal forma que si se finaliza uno, el otro lo reinicia de forma inmediata. Los nombres de los mutex son los siguientes:

Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU

El gusano contiene el siguiente texto oculto encriptado en su código:

SOW WE HAVE PROGRAMMED OUR BACKDOOR,
IT CANNOT BE USED FOR SPAM RELAYING
,ONLY FOR NKYNET DISTRIBUTION,
OUR ADVICE: EDUCATE THE USERS OR
UPDATE THE SMTP PROTOCOL, AND HEURISTICS
CANNOT DETECT NKYNET, BECAUSES
NUMEROUS SCAMBLER, COMPRESSORS, AND
PROTECTORS EXISTS INCLUDING PROGRAMMING
NEW FEATURES.
OHANKS TO RUSSIA, AND THANKS TO WWW
FOR SUPPORT.
09:34 J.H, XUSSIA


Reparación manual

Antivirus


Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\easyav.exe
c:\windows\uinmzertinmds.opm

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

EasyAV

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

09/07/04 - 14:18 -0300 (Alias: Worm.SomeFool.S)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS