Virus Netsky.C

Efectos:

Netsky.C realiza las siguientes acciones:

• Borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.
• Emite un sonido compuesto de varios tonos aleatorios a través del altavoz interno, cuando la fecha del sistema es 26 de febrero de 2004, entre las 6:00 y las 8:59 de la mañana.
  Si quiere oír un extracto de dicho sonido, pulse aquí.

Metodo de infección:

Netsky.C crea el archivo WINLOGON.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.C crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQ Net = %windir%\ winlogon.exe –stealth
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQ Net = %windir%\ winlogon.exe –stealth
  donde %windir% es el directorio de Windows.
  Si no consigue crear la primera de estas entradas, entonces intenta crear la segunda.
  Mediante la creación de cualquiera de estas dos entradas, Netsky.C se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.C borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KasperskyAV
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KasperskyAV
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  msgsvr32
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  DELETE ME
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  d3dupdate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  au.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  service
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  OLE
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Sentry
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
  PINF
• HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services
  WksPatch
• HKEY_CURRENT_USER\ Windows Services Host
• HKEY_LOCAL_MACHINE\ Windows Services Host
• HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  Estas entradas pertenecen a diversos gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Metodo de propagación:

Netsky.C se propaga a través del correo electrónico, de los programas de intercambio de archivos punto a punto (P2P) y de redes de ordenadores.

1.- Propagación a través del correo electrónico.

Netsky.C realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo de características variables:
  
  Remitente:
  Netsky.C falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: variable; puede ser uno de los siguientes:
  believe me
  dear
  Delivery Failed
  denied!
  error
  exception
  excuse me
  fake?
  good morning
  hello
  Here is it
  hey
  hi
  illegal...
  I'm back!
  important
  info
  its me
  last chance!
  lol
  moin
  notice!
  notification
  oh
  private?
  question
  Question
  re:
  Re: <5664ddff?$??º2>
  Re: does it?
  Re: does it?
  Re: excuse me
  Re: hello
  Re: hey
  Re: hi
  Re: important
  Re: information
  Re: Re: Re: Re:
  Re: unknown
  read it immediatelly
  report
  something for you
  Status
  stolen
  take it
  trust me
  warning
  what's up?
  Yep
  you?
  
  Contenido:
  *lol*
  ;-)
  <...>
  <?}
  <<<Failure>>>
  <09580985869gj>
  <Antispam complete>
  <Attached Msg>
  <Attachment from Poland>
  <Attachment Signature 34933920>
  <Automailer>
  <bad gateway>
  <Click the attachment to decrypt>
  <Deliver Error>
  <Failed message available>
  <Mail failed>
  <Message Error>
  <null>
  <scanned by norton antivirus>
  <Server Error>
  <Transfer complete>
  <Warning from the Government>
  Para una lista completa de los mensajes que utiliza, pulse aquí.
  
  Archivo adjunto: es variable, y está compuesto de un nombre de archivo aleatorio y una extensión aleatoria, que en ocasiones es doble:
  Posibles nombres de archivo: 454543403, ABOUTYOU, ASSOCIAL, ATTACH2, ATTACHMENT, AUCTION, BILL, BIRTH, CARD, CLASS_PHOTOS, CONCERT, CREDITCARD, DEATH, DESCRIPTION, DETAILS, DINNER, DISCO, DOC, DOC_ANG, DOCUMENT, FINAL, FOUND, FREAKY, FRIEND, ID, IMAGE, IMPORTANT, INCEST, INFORMATION, INJECTION, INTIMATESTUFF, JOKES, LETTER, LOCATION, MAIL2, MAILS, MASTURBATION, MATERIAL, ME, MESSAGE, MISC, MOONLIGHT, MORE, MSG, MSG2, MUSIC, MYAUNT, MYDATE, NAKED1, NAKED2, NEWS, NOMONEY, NOTE, NOTHING, NUMBER_PHONE, OBJECT, OLD_PHOTOS, PART2, PARTY, PAYPAL, PIC, PORTMONEY, POSTER, POSTING, PRIVACY, PRODUCT, PS, RANKING, REGARDS, REGID, RELEASE, RESPONSE, SCHOCK, SECRETS, SEXUAL, SEXY, SHOWER, STORY, STUFF, SWIMMINGPOOL, TALK, TEAR, TEXTFILE, TOPSELLER, TRANSFER, TRASH, UNDEFINIED, UNFOLDS, UPDATE, VIOLENCE, VISA, WAREZ, WEBCAM, WEBSITE, WIFE, WORD_DOC, WORKER, YOUR_STUFF, YOURS y YOURS.
  Posibles primeras extensiones: DOC, HTM, RTF y TXT.
  Posibles últimas extensiones: COM, EXE, PIF y SCR.
  En la mitad de las ocasiones, el archivo está comprimido en formato ZIP.
  
  Los siguientes son sólo algunos ejemplos de posibles archivos adjuntos: ABOUTYOU.DOC.COM, OBJECT.ZIP, RESPONSE.EXE, WORKER.RTF.PIF, etc.
• El ordenador queda afectado cuando se ejecuta el archivo adjunto.
• Netsky.C busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS y WAB.
• Netsky.C se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.
  Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
  abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, icrosoft, itdefender, orman, orton, spam y ymantec.
• Netsky.C contiene una lista de 25 direcciones IP que pertenecen a servidores DNS, que emplea para resolver los dominios de los servidores de correo de los destinatarios.

2.- Propagación a través de programas P2P.

Netsky.C realiza el siguiente proceso:

• Crea copias de sí mismo en directorios que contengan las cadenas de texto share o sharing. Busca tales directorios en unidades desde la C: hasta la Z:.
  De este modo, pretende realizar copias de sí mismo en los directorios compartidos de programas P2P.
• Las copias de Netsky.C tienen los siguientes nombres:
  1000 Sex and more.rtf.exe
  3D Studio Max 3dsmax.exe
  ACDSee 9.exe
  Adobe Photoshop 9 full.exe
  Adobe Premiere 9.exe
  Ahead Nero 7.exe
  Best Matrix Screensaver.scr
  Clone DVD 5.exe
  Cracks & Warez Archive.exe
  Dark Angels.pif
  Dictionary English - France.doc.exe
  DivX 7.0 final.exe
  Doom 3 Beta.exe
  E-Book Archive.rtf.exe
  Full album.mp3.pif
  Gimp 1.5 Full with Key.exe
  How to hack.doc.exe
  IE58.1 full setup.exe
  Keygen 4 all appz.exe
  Learn Programming.doc.exe
  Lightwave SE Update.exe
  Magix Video Deluxe 4.exe
  Microsoft Office 2003 Crack.exe
  Microsoft WinXP Crack.exe
  MS Service Pack 5.exe
  Norton Antivirus 2004.exe
  Opera.exe
  Partitionsmagic 9.0.exe
  Porno Screensaver.scr
  RFC Basics Full Edition.doc.exe
  Screensaver.scr
  Serials.txt.exe
  Smashing the stack.rtf.exe
  Star Office 8.exe
  Teen Porn 16.jpg.pif
  The Sims 3 crack.exe
  Ulead Keygen.exe
  Virii Sourcecode.scr
  Visual Studio Net Crack.exe
  Win Longhorn Beta.exe
  WinAmp 12 full.exe
  Windows Sourcecode.doc.exe
  WinXP eBook.doc.exe
  XXX hardcore pic.jpg.exe
• Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Netsky.C, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Netsky.C.

3.- Propagación a través de redes de ordenadores.

Netsky.C intenta realizar copias de sí mismo en todas las unidades del ordenador, incluyendo las mapeadas. Comienza por la unidad C:, pero no realiza copias en las unidades correspondientes a CD-ROMs.

Otros detalles:

Netsky.C está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 25352 Bytes y está comprimido mediante Petite v2.2.

Netsky.C crea el mutex [SkyNet.cz]SystemsMutex, para asegurarse de que no se ejecuta varias veces al mismo tiempo.

El código de este gusano contiene el siguiente texto, aunque no es mostrado en ningún momento:

<-<- we are the skynet - you can''t hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->]My Doom.F is a thief of our idea! - -< SkyNet AV vs. Malware > - ->->