Virus Netsky.W

Efectos:

Netsky.W borra las entradas del Registro de Windows pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle.

Metodo de infección:

Netsky.W crea los siguientes ficheros en el directorio de Windows:

• VISUALGUARD.EXE. Este fichero es una copia del gusano.
• ZIP1.TMP, ZIP2.TMP, ZIP3.TMP, ZIP4.TMP, ZIP5.TMP, ZIP6.TMP y ZIPPED.TMP. Estos ficheros en formato MIME contienen una copia del gusano, comprimida en formato ZIP.
• BASE64.TMP. Este fichero tiene formato MIME y contiene una copia del gusano.

Netsky.W crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  NetDy = %windir%\ visualguard.exe
  donde %windir% es el directorio de Windows.
  Mediante la creación de esta entrada, Netsky.W se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.W borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  msgsvr32
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  DELETEME
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  d3dupdate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  au.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  gouday.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  rate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  sysmon.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  srate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ssate.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  service
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  OLE
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Sentry
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\CurrentVersion\ Explorer
  PINF
• HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services
  WksPatch
• HKEY_CURRENT_USER\ Windows Services Host
• HKEY_CURRENT_USER\ Windows Services Host
• HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  Estas entradas pertenecen a varios gusanos, entre los que se encuentran diversas variantes del Mydoom y del Bagle.

Metodo de propagación:

Netsky.W se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:
  
  Remitente:
  Netsky.W falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: es variable, y está compuesto de palabras de las siguientes listas:
  Lista 1: Re:, Re: Re:
  Lista 2: approved, important, my, your.
  Lista 3: application, approved, bill, corrected, data, details, document, document_all, excel document, file, hello, here, hi, important, improved, information, letter, message, patched, product, read it immediately, screensaver, text, thanks!, website, word document.
  Por ejemplo: Re: approved message, Re: Re: important information, Re: your website, etc.
  
  Contenido: es variable, y se compone de una frase y un texto final:
  Posibles frases:
  Authentication required.
  I have attached your document.
  I have received your document. The corrected document is attached.
  Please confirm the document.
  Please read the attached file.
  Please read the document.
  Please read the important document.
  Requested file.
  See the file.
  Your details.
  Your document is attached to this mail.
  Your document is attached.
  Your document is attached.
  Your document.
  Your file is attached.
  Texto final:
  --------------------------------------------
  %fichero%: No virus found
  Powered by the new Norton OnlineScan
  Get protected: www.symantec.com
  donde %fichero% es el nombre del fichero adjunto.
  
  Fichero adjunto: tiene nombre variable:
  Posibles nombres de fichero: APPLICATION_%nombre%, APPROVED_%nombre%, BILL_%nombre%, DATA_%nombre%, DETAILS_%nombre%, DOCUMENT_%nombre%, DOCUMENT_ALL_%nombre%, EXCEL DOCUMENT_%nombre%, FILE_%nombre%, IMPORTANT_%nombre%, INFORMATION_%nombre%, LETTER_%nombre%, MESSAGE_%nombre%, PRODUCT_%nombre%, SCREENSAVER_%nombre%, TEXT_%nombre%, WEBSITE_%nombre%, WORD DOCUMENT_%nombre%
  donde %nombre% es el nombre que aparece en la dirección de correo, antes del carácter @.
  Posibles extensiones: EXE, PIF, SCR o ZIP.
• Cuando el fichero es ejecutado, el ordenador quedará afectado.
• Netsky.W busca direcciones de correo en ficheros que tengan las siguientes extensiones:ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS, WAB, WSH y XML.
• Netsky.W se envía a sí mismo a todas las direcciones que encuentra, utilizando su propio motor SNMP.

Otros detalles:

Netsky.W está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 24064 Bytes y está comprimido mediante UPX 1.24.

Netsky.W crea el mutex NetDy_Mutex_Psycho, para asegurarse de que no se ejecuta varias veces al mismo tiempo.