publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Netsky.E

Virus Netsky.E

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy baja Propagación Propagación muy baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Netsky.E realiza las siguientes acciones:

  • Borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.
  • Emite un sonido compuesto de varios tonos aleatorios a través del altavoz interno, cuando la fecha del sistema es 26 de febrero de 2004, entre las 6:00 y las 8:59 de la mañana.
    Si quiere oír un extracto de dicho sonido, pulse aquí.

Metodo de infección:

Netsky.E crea el archivo WINLOGON.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.E crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    ICQ Net = %windir%\ winlogon.exe –stealth
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ICQ Net = %windir%\ winlogon.exe –stealth
    donde %windir% es el directorio de Windows.
    Si no consigue crear la primera de estas entradas, entonces intenta crear la segunda.
    Mediante la creación de cualquiera de estas dos entradas, Netsky.E se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.E borra las siguientes entradas del Registro de Windows, si existen:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KasperskyAV
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KasperskyAV
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    msgsvr32
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    DELETE ME
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    d3dupdate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    au.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    OLE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Sentry
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
    PINF
  • HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services
    WksPatch
  • HKEY_CURRENT_USER\ Windows Services Host
  • HKEY_LOCAL_MACHINE\ Windows Services Host
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    Estas entradas pertenecen a diversos gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Metodo de propagación:

Netsky.E se propaga a través del correo electrónico. Realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente:
    Netsky.E falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: variable; puede ser uno de los siguientes:
    Announcement
    Approved
    Attention
    automatic notification
    automatic responder
    believe me
    Confirmation
    Confirmation Required
    dear
    Delivery Failed
    denied!
    Details
    error
    exception
    excuse me
    Expired account
    fake?
    good morning
    hello
    Here is it
    hey
    hi
    hi, it's me
    illegal...
    I'm back!
    important
    info
    its me
    last chance!
    lol
    Love is
    moin
    notice!
    notification
    oh
    please read
    please reply
    private?
    question
    Question
    re:
    Re: <5664ddff?$??º2>
    Re: <censored>
    Re: Approved
    Re: Details
    Re: does it?
    Re: does it?
    Re: excuse me
    Re: hello
    Re: hey
    Re: hi
    Re: important
    Re: information
    Re: information
    Re: Re: Re: Re:
    Re: Thank you
    Re: unknown
    read it immediatelly
    read now!
    Read this message
    registered?
    Registration confirm
    report
    Returned Mail
    Schedule
    something for you
    Status
    stolen
    take it
    Thank you
    Thank You very very much
    trust me
    warning
    what's up?
    Yep
    You have 1 day left
    You use illegal...
    you?
    Your IP was logged
    Your request was registered

    Contenido:
    ";-)"
    "from your lover ;-)"
    *lol*
    <...>
    <?}
    <<<Failure>>>
    <09580985869gj>
    <Antispam complete>
    <Attached Msg>
    <Attachment from Poland>
    <Attachment Signature 34933920>
    <Automailer>
    <bad gateway>
    <Click the attachment to decrypt>
    <Deliver Error>
    <Failed message available>
    <Mail failed>
    <Message Error>
    <null>
    <scanned by norton antivirus>
    <Server Error>
    <Transfer complete>
    <Warning from the Government>
    a crazy doc about you
    abuse?
    account?
    already?
    another pic, have fun! ... :->
    Antispam is turned off. See file!
    Para una lista completa de los mensajes que utiliza, pulse aquí.

    Archivo adjunto: es variable, y está compuesto de un nombre de archivo aleatorio y una extensión aleatoria, que en ocasiones es doble:
    Posibles nombres de archivo: 454543403, ABOUTYOU, ASSOCIAL, ATTACH2, ATTACHMENT, AUCTION, BILL, BIRTH, CARD, CLASS_PHOTOS, CONCERT, CREDITCARD, DEATH, DESCRIPTION, DETAILS, DINNER, DISCO, DOC, DOC_ANG, DOCUMENT, FINAL, FOUND, FREAKY, FRIEND, ID, IMAGE, IMPORTANT, INCEST, INFORMATION, INJECTION, INTIMATE STUFF, JOKES, LETTER, LOCATION, MAIL2, MAILS, MASTURBATION, MATERIAL, ME, MESSAGE, MISC, MOONLIGHT, MORE, MSG, MSG2, MUSIC, MYAUNT, MYDATE, NAKED1, NAKED2, NEWS, NOMONEY, NOTE, NOTHING, NUMBER_PHONE, OBJECT, OLD_PHOTOS, PART2, PARTY, PAYPAL, PIC, PORTMONEY, POSTER, POSTING, PRIVACY, PRODUCT, PS, RANKING, REGARDS, REGID, RELEASE, RESPONSE, SCHOCK, SECRETS, SEXUAL, SEXY, SHOWER, STORY, STUFF, SWIMMINGPOOL, TALK, TEAR, TEXTFILE, TOPSELLER, TRANSFER, TRASH, UNDEFINIED, UNFOLDS, UPDATE, VIOLENCE, VISA, WAREZ, WEBCAM, WEBSITE, WIFE, WORD_DOC, WORKER, YOUR_STUFF, YOURS.
    Primera extensión falsa: DOC, GIF, HTM, JPG, RTF, TXT.
    Extensión final: BAT, CMD, COM, EXE, PIF, SCR.
  • El ordenador es afectado cuando se ejecuta el archivo adjunto.
  • Netsky.E busca direcciones de correo electrónico en archivos con las siguientes extensiones: ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS, WAB.
  • Netsky.E envía una copia de sí mismo a las direcciones que ha recogido, exceptuando aquellas que contengan alguna de las siguientes cadenas de texto: abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, icrosoft, itdefender, messagelabs, orman, orton, skynet, spam, ymantec.

Otros detalles:

Netsky.E está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 24840 Bytes y está comprimido mediante Petite v2.2.

Netsky.E crea el mutex [SkyNet.cz]SystemsMutex, para asegurarse de que no se ejecuta varias veces al mismo tiempo.

El código de este gusano contiene el siguiente texto, aunque no es mostrado en ningún momento:

be aware! Skynet.cz - -->AntiHacker Crew<--
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork