publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Netsky.AG

Virus Netsky.AG

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad baja Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Netsky.AG realiza las siguientes acciones:

Metodo de infección:

Netsky.AG crea el archivo MSNMSGRS.EXE en el directorio de Windows. Este archivos es una copia del gusano.

Netsky.AG crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    MsnMsgr = MsnMsgrs.exe –alev

    Si no puede crear dicha entrada, intenta crear la siguiente:

    HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    MsnMsgr = MsnMsgrs.exe –alev

    Mediante estas entradas, Netsky.AG consigue ejecutarse cada vez que Windows se inicia.

 

Netsky.AG borra las siguientes entradas del Registro de Windows, si existen:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KasperskyAv
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    system
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    system
    Estas entradas son creadas por otros gusanos, como por ejemplo Mydoom.A, Mydoom.B y Mimail.T.
    Borrando estas entradas, Netsky.AG consigue que dichos gusanos no se activen cuando Windows se inicia (suponiendo que el ordenador hubiera sido previamente afectado por alguno de ellos).

Metodo de propagación:

Netsky.AG se propaga a través del correo electrónico y de programas de intercambio de archivos punto a punto (P2P).

 

1.- Propagación a través del correo electrónico.

Netsky.AG realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente:
    Netsky.AG falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
    Netsky.AG utiliza la dirección fija j_a_r@ig.com.br o cualquiera de las direcciones de correo que ha recogido del ordenador afectado.

    Asunto: puede ser uno de los siguientes:
    :)
    agradou
    diga
    impressao!!
    massas!
    morto
    pescaria por kilo
    robos!
    Sua saude esta bem?

    Contenido: uno de los siguientes:
    Abra rapido isso!!!!
    acrdito que em voce!!!
    algo a mais falea verdade!!!
    AMA!
    AmaVoce
    amor me liga
    arquivo zipado PGP???
    Boleto Pague
    campanhadafome
    encontro voce!
    estou doente veja!!!
    ferias nos E.U.A
    ganhe muita grana
    gostaria disso e voce???
    grana
    Hackers do Brasil
    Lembra?
    me diz o que acha?
    me veja peladinha
    Medical Labs Exames!!!
    meu telefone liga
    olha que isso!!!
    parabens!
    PizzaVeneza!
    Policia SP
    pq nao me liga??
    preenche ai ta bom
    promocao de viajens de fim de ano
    Proposta de emprego!!
    receitas de bolo!!
    retorna logo isso!!
    reza de sao tome!!!!.
    sinto voce!!
    sua conta bancaria zerada
    Sua Conta!!
    Surto :(
    te amo!
    tudo sobre voce sabe
    Vacina contra o HIV!!
    ve ai logo ta
    veja detalhes!!!.
    veja o que tem no zip e me liga
    voce passou :D!!!

    Archivo adjunto: el nombre del archivo es variable, y generalmente tiene doble extensión:
    :(, :-), :D, ???, AGUA!, AIDS!, ANINHAPUTINHA +55OPERADO6992292246, AQUI, BANCO!, BINGOS!, BOTAO, BRASIL!, CARROS!, CIRCULAR, CONTAS!!, CRIANCAS!, DINHEIRO!!, DOCS, EMAIL, FESTA!!, FLIPE, GRANA, GRANA!!, IMPOSTO, JOGO!, LANTROCIDADE, LINUSTOR, LOTERIAS, LULAO!, MISSAO, REVISTA, SAMPA!!, SORTEADO!!, TETAS, VACA, VADIAS!, VIPS!, VOCE, WAR3! y ZERADO.
    Primera extensión: DOC, HTM, RTF o TXT.
    Segunda extensión: COM, EXE, PIF o SCR. En algunas ocasiones, el archivo adjunto presenta únicamente una de las anteriores extensiones ejecutables.
    El icono de este archivo tiene el siguiente aspecto:


    Además, también podría llegar al ordenador como un archivo con extensión ZIP.
  • Cuando el archivo adjunto es ejecutado, el ordenador quedará afectado.
  • Netsky.AG busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, DOC, EML, HTM, HTML, OFT, PHP, PL, RTF, SCS, SHT, TBB, TXT, UIN, VBS y WAB.
  • Netsky.AG se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.

 

2.- Propagación a través de programas P2P.

Netsky.AG realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios que contengan las cadenas de texto share o sharing. Busca tales directorios en unidades desde la C: hasta la Z:.
    De este modo, pretende realizar copias de sí mismo en los directorios compartidos de programas P2P.
  • Las copias de Netsky.AG tienen los siguientes nombres:

    aninha gatinha!.zip.scr
    cafe!!.zip.scr
    Canaval2004!.jpg.pif
    Carnaval emSalvador!!.zip.scr
    caspa.scrbarrio.scr
    celulares!!.zip.scr
    clica ai logo meu.scr
    comoserrico!.zip.scr
    importante!!!!!.zip.scr
    minhavida!.zip.exe
    MulataDandoOcujpg.scr
    multas.pif
    paula!.scr
    puteiros!!.scr
    receitas de bolo!!.zip.scr
    rede globo tv!.zip.scr
    ResidentEvil2.zip.scr
    rocha.scr
    traficoemSP!.scr
    vadias peladas!!.scr
    vida!!.zip.scr
    VivaNaBaia!.scr
    vota!.zip.scr
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Netsky.AG, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Netsky.AG.

 

Otros detalles:

Netsky.AG está escrito en el lenguaje de programación Visual C++ v5.0. Este gusano tiene un tamaño de 31232 Bytes y está encriptado y después comprimido mediante UPX.

Netsky.AG crea un mutex llamado MutexAninha22apr para asegurarse de que únicamente una copia de sí mismo esta activa en memoria.

Además, Netsky.AG muestra el siguiente texto si se intenta ejecutar en modo DOS:

Alevirus NetSky-bCracked AninhaAMAVC!
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork