Virus Netsky.AB

Efectos:

Netsky.AB elimina las entradas del Registro de Windows pertenecientes a diversas variantes del gusano Bagle.

Metodo de infección:

Netsky.AB crea el archivo CSRSS.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.AB crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  BagleAV = %windir%\ csrss.exe
  donde %windir% es el directorio de Windows.
  Mediante esta entrada, Netsky.AB consigue ejecutarse cada vez que Windows se inicia.

Netsky.AB elimina las siguientes entradas del Registro de Windows, si existen:

• HKEY_CURRENT_USER\SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ssgrate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  drvsys.exe
  Estas entradas pertenecen a diversas variantes del gusano Bagle.

Metodo de propagación:

Netsky.AB se propaga a través del correo electrónico. Para ello, realiza las siguientes acciones:

• Llega al ordenador en un mensaje escrito en inglés de características variables:
  
  Remitente:
  Netsky.AB falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: uno de los siguientes:
  Correction
  Criminal
  Found
  Funny
  Hurts
  Illegal
  Letter
  Letter
  Money
  More samples
  Numbers
  Only love?
  Password
  Picture
  Pictures
  Privacy
  Question
  Stolen
  Text
  Wow
  
  Contenido: uno de los siguientes:
  Are your numbers correct?
  Do you have asked me?
  Do you have more photos about you?
  Do you have more samples?
  Do you have no money?
  Do you have written the letter?
  Does it hurt you?
  Hey, are you criminal?
  How can I help you?
  I've found your creditcard. Check the data!
  I've your password. Take it easy!
  Please do not sent me your illegal stuff again!!!
  Please use the font arial!
  Still?
  The text you sent to me is not so good!
  True love letter?
  Why do you show your body?
  Wow! Why are you so shy?
  You have no chance...
  Your pictures are good!
  
  Archivo adjunto: uno de los siguientes:
  ABUSES.PIF
  ALL_PICTURES.PIF
  CORRECTED_DOC.PIF
  DOCUMENT1.PIF
  HURTS.PIF
  IMAGE034.PIF
  LOVELETTER02.PIF
  MY_STOLEN_DOCUMENT.PIF
  MYABUSELIST.PIF
  PASSWORDS02.PIF
  PIN_TEL.PIF
  VISA_DATA.PIF
  YOUR_BILL.PIF
  YOUR_LETTER.PIF
  YOUR_LETTER_03.PIF
  YOUR_PICTURE.PIF
  YOUR_PICTURE01.PIF
  YOUR_TEXT.PIF
  YOUR_TEXT01.PIF
  
• El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
• Netsky.AB busca direcciones de correo electrónico en archivos con las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.
• Netsky.AB se envía a todas las direcciones recopiladas, utilizando su propio motor SMTP.
• Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
  abuse, andasoftwa, antivi, antivir, aspersky, avp, cafee, fbi, f-pro, freeav, f-secur, icrosoft, iruslis, itdefender, messagelabs, orman, orton, skynet, sophos, spam e ymantec.

Otros detalles:

Netsky.AB está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 17920 Bytes y se encuentra comprimido mediante PECompact.

Además, Netsky.AB crea el mutex S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m para asegurarse de que no es ejecutado varias veces simultáneamente.