publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Netsky.D

Virus Netsky.D

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad baja Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Netsky.D realiza las siguientes acciones:

  • Borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.
  • Emite un sonido compuesto de varios tonos aleatorios a través del altavoz interno, cuando la fecha del sistema es 26 de febrero de 2004, entre las 6:00 y las 8:59 de la mañana.
    Si quiere oír un extracto de dicho sonido, pulse aquí.

Nota: el 11 de marzo de 2004, PandaLabs detectó una nueva variante de este gusano. Esta variante crea cuatro hilos para enviarse a través del correo electrónico, en lugar de ocho, y fue compilada con opciones distintas a la original, ya que el código resultante es ligeramente distinto.

Metodo de infección:

Netsky.D crea el archivo WINLOGON.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.D crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    ICQ Net = %windir%\ winlogon.exe –stealth
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ICQ Net = %windir%\ winlogon.exe –stealth
    donde %windir% es el directorio de Windows.
    Si no consigue crear la primera de estas entradas, entonces intenta crear la segunda.
    Mediante la creación de cualquiera de estas dos entradas, Netsky.D se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.D borra las siguientes entradas del Registro de Windows, si existen:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KasperskyAV
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KasperskyAV
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    msgsvr32
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    DELETE ME
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    d3dupdate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    au.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    OLE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Sentry
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
    PINF
  • HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services
    WksPatch
  • HKEY_CURRENT_USER\ Windows Services Host
  • HKEY_LOCAL_MACHINE\ Windows Services Host
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    Estas entradas pertenecen a diversos gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Metodo de propagación:

Netsky.D se propaga a través del correo electrónico. Realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente:
    Netsky.D falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: es variable; puede ser uno de los siguientes:
    Re: Approved
    Re: Details
    Re: Document
    Re: Excel file
    Re: Hello
    Re: Here
    Re: Here is the document
    Re: Hi
    Re: My details
    Re: Re: Document
    Re: Re: Message
    Re: Re: Re: Your document
    Re: Re: Thanks!
    Re: Thanks!
    Re: Word file
    Re: Your archive
    Re: Your bill
    Re: Your details
    Re: Your document
    Re: Your letter
    Re: Your music
    Re: Your picture
    Re: Your product
    Re: Your software
    Re: Your text
    Re: Your website

    Contenido: puede ser uno de los siguientes:
    Here is the file.
    Please have a look at the attached file.
    Please read the attached file.
    See the attached file for details.
    Your document is attached.
    Your file is attached.

    Archivo adjunto: es variable, y puede ser uno de los siguientes:
    ALL_DOCUMENT.PIF
    APPLICATION.PIF
    DOCUMENT.PIF
    DOCUMENT_4351.PIF
    DOCUMENT_EXCEL.PIF
    DOCUMENT_FULL.PIF
    DOCUMENT_WORD.PIF
    MESSAGE_DETAILS.PIF
    MESSAGE_PART2.PIF
    MP3MUSIC.PIF
    MY_DETAILS.PIF
    YOUR_ARCHIVE.PIF
    YOUR_BILL.PIF
    YOUR_DETAILS.PIF
    YOUR_DOCUMENT.PIF
    YOUR_FILE.PIF
    YOUR_LETTER.PIF
    YOUR_PICTURE.PIF
    YOUR_PRODUCT.PIF
    YOUR_TEXT.PIF
    YOUR_WEBSITE.PIF
    YOURS.PIF
  • El ordenador es afectado cuando se ejecuta el archivo adjunto.
  • Netsky.D busca direcciones de correo en archivos que tengan las siguientes extensiones:
    ASP, DBX, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, TBB, TXT, UIN, VBS y WAB.
  • Netsky.D se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP. Para ello, crea ocho hilos de ejecución simultáneos.
    Sin embargo, no se envía a ninguna dirección que contenga alguna de las siguientes cadenas de texto: abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, icrosoft, itdefender, messagelabs, orman, orton, skynet, spam y ymantec.
  • Netsky.D contiene una lista de direcciones IP que pertenecen a servidores DNS, que emplea para resolver los dominios de los servidores de correo de los destinatarios. Aunque dicha lista contiene veinticinco elementos, dos de ellos están repetidos:
    145.253.2.171, 151.189.13.35, 193.141.40.42, 193.189.244.205, 193.193.144.12, 193.193.158.10, 194.25.2.129, 194.25.2.129, 194.25.2.130, 194.25.2.131, 194.25.2.132, 194.25.2.133, 194.25.2.134, 195.185.185.195, 195.185.185.195,195.20.224.234, 212.185.252.136, 212.185.252.73, 212.185.253.70, 212.44.160.8, 212.7.128.162, 212.7.128.165, 213.191.74.19, 217.5.97.137, 62.155.255.16.

Otros detalles:

Netsky.D está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 17424 Bytes y está comprimido mediante Petite v2.2.

Netsky.D crea el mutex [SkyNet.cz]SystemsMutex, para asegurarse de que no se ejecuta varias veces al mismo tiempo.

El código de este gusano contiene el siguiente texto, aunque no es mostrado en ningún momento:

be aware! Skynet.cz - -->AntiHacker Crew<--
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork