Virus Netsky.J

Efectos:

Netsky.J realiza las siguientes acciones:

• Borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.
• Emite un sonido compuesto de varios tonos aleatorios a través del altavoz interno, cuando la fecha del sistema es 26 de febrero de 2004, entre las 6:00 y las 8:59 de la mañana. Sin embargo, esta fecha ya ha pasado.
  Si quiere oír un extracto de dicho sonido, pulse aquí.

Metodo de infección:

Netsky.J crea el fichero WINLOGON.EXE en el directorio de Windows. Este fichero es una copia del gusano.

Netsky.J crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQ Net = %windir%\ winlogon.exe –stealth
  donde %windir% es el directorio de Windows.
  Mediante la creación de esta entrada, Netsky.J se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.J borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KasperskyAV
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KasperskyAV
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  msgsvr32
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  DELETE ME
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  d3dupdate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  au.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  service
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  OLE
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Sentry
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
  PINF
• HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services
  WksPatch
• HKEY_CURRENT_USER\ Windows Services Host
• HKEY_LOCAL_MACHINE\ Windows Services Host
• HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  Estas entradas pertenecen a diversos gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Metodo de propagación:

Netsky.J se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo de características variables:
  
  Remitente:
  Netsky.J falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: variable; puede ser uno de los siguientes:
  Re: Approved
  Re: Details
  Re: Document
  Re: Excel file
  Re: Hello
  Re: Here
  Re: Here is the document
  Re: Hi
  Re: My details
  Re: Re: Document
  Re: Re: Message
  Re: Re: Re: Your document
  Re: Re: Thanks!
  Re: Thanks!
  Re: Word file
  Re: Your archive
  Re: Your bill
  Re: Your details
  Re: Your document
  Re: Your letter
  Re: Your music
  Re: Your picture
  Re: Your product
  Re: Your software
  Re: Your text
  Re: Your website
  
  Contenido:
  have a look at the attached file.
  Here is the file.
  Please read the attached file.
  See the attached file for details.
  Your document is attached.
  Your file is attached.
  
  Fichero adjunto: uno de los siguientes:
  ALL_DOCUMENT.PIF
  APPLICATION.PIF
  DOCUMENT.PIF
  DOCUMENT_4351.PIF
  DOCUMENT_EXCEL.PIF
  DOCUMENT_FULL.PIF
  DOCUMENT_WORD.PIF
  MESSAGE_DETAILS.PIF
  MESSAGE_PART2.PIF
  MP3MUSIC.PIF
  MY_DETAILS.PIF
  YOUR_ARCHIVE.PIF
  YOUR_BILL.PIF
  YOUR_DETAILS.PIF
  YOUR_DOCUMENT.PIF
  YOUR_FILE.PIF
  YOUR_LETTER.PIF
  YOUR_PICTURE.PIF
  YOUR_PRODUCT.PIF
  YOUR_TEXT.PIF
  YOUR_WEBSITE.PIF
  YOURS.PIF
• Cuando el fichero es ejecutado, el ordenador quedará afectado.
• Netsky.J busca direcciones de correo en ficheros que tengan las siguientes extensiones: ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS y WAB.
• Netsky.J se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.
  Sin embargo, no se envía a ninguna dirección que contenga alguna de las siguientes cadenas de texto: abuse, andasoftwa, antivi, antivir, aspersky, avp, cafee, fbi, f-pro, freeav, f-secur, icrosoft, iruslis, itdefender, messagelabs, orman, orton, skynet, sophos, spam e ymantec.
  El gusano crea dieciséis hilos de ejecución simultáneos para enviarse a través del correo electrónico.
• Netsky.J contiene una lista de veintitrés direcciones IP que pertenecen a servidores DNS, que emplea para resolver los dominios de los servidores de correo de los destinatarios.

Otros detalles:

Netsky.J está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 22016 Bytes y está comprimido mediante tElock.

Netsky.J crea el mutex LK[SkyNet.cz]SystemsMutex, para asegurarse de que no se ejecuta varias veces al mismo tiempo.

El código de este gusano contiene el siguiente texto, aunque no es mostrado en ningún momento:

be aware! Skynet.cz - -->AntiHacker Crew<--