Virus Netsky.X

Efectos:

Netsky.X lanza ataques de denegación de Servicio (DoS) entre el 28 y el 30 de abril de 2004, ambos inclusive, contras las siguientes páginas web:

• www.nibis.de
• www.medinfo.ufl.edu
• www.educa.ch

Metodo de infección:

Netsky.X crea los siguientes ficheros en el directorio de Windows:

• FIREWALLSVR.EXE. Este fichero es una copia del gusano.

• FUCK-YOU-BAGLE.TXT. Este fichero en formato MIME es una copia del gusano.

Netsky.X crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  FirewallSvr = %WinDir%\ FirewallSvr.exe
  donde %windir% es el directorio de Windows.
  Mediante esta entrada, Netsky.X consigue ejecutarse cada vez que Windows se inicia.

Metodo de propagación:

Netsky.X se propaga a través del coreo electrónico. Para ello, realiza las siguientes acciones:

• Llega al ordenador en un mensaje de características variables:
  Emisor:
  Netsky.X falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Los campos Asunto, Contenido y Fichero adjunto varían según la extensión del dominio de correo del receptor.
  
  Caso 1: si el dominio del receptor es.de (Alemania)
  Asunto:
  Re: dokument
  Contenido:
  Bitte lesen Sie das Dokument.
  Fichero adjunto:
  DOKUMENT.PIF
  
  Caso 2: si el dominio del receptor es .fi(Finlandia)
  Asunto:
  Re: dokumentoida
  Contenido:
  Haluta kuulua dokumentoida.
  Fichero adjunto:
  DOKUMENTOIDA.PIF
  
  Caso 3: si el dominio del receptor es .fr (Francia)
  Asunto:
  Re: document
  Contenido:
  Veuillez lire le document.
  Fichero adjunto:
  DOCUMENT.PIF
  
  Caso 4: si el dominio del receptor es.it (Italia)
  Asunto:
  Re: documento
  Contenido:
  Legga prego il documento.
  Fichero adjunto:
  DOCUMENTO.PIF
  
  Caso 5: si el dominio del receptor es .no (Noruega)
  Asunto:
  Re: dokumentet
  Contenido:
  ehage lese dokumentet.
  Fichero adjunto:
  DOKUMENTET.PIF
  
  Caso 6:si el dominio del receptor es .pl (Polonia)
  Asunto:
  Re: udokumentowac
  Contenido:
  Podobac sie przeczytac ten udokumentowac.
  Fichero adjunto:
  UDOKUMENTOWAC.PIF
  
  Caso 7: si el dominio del receptor es .pt (Portugal)
  Asunto:
  Re: original
  Contenido:
  Leia por favor o original.
  Fichero adjunto:
  ORIGINAL.PIF
  
  Caso 8: si el dominio del receptor es .se (Suecia)
  Asunto:
  Re: dokumenten
  Contenido:
  Behaga lõsa dokumenten.
  Fichero adjunto:
  DOKUMENTEN.PIF
  
  Caso 9: si el dominio del receptor es .tc (Turquía e Islas Caicos)
  Asunto:
  Re: belge
  Contenido:
  mutlu etmek okumak belgili tanimlik belge.
  Fichero adjunto:
  BELGE
  
  Caso 10:
  Asunto:
  Re: document
  Contenido:
  Please read the document
  Fichero adjunto:
  .XX
  La extensión del archivo adjunto es siempre PIF.
• El ordenador queda afectado cuando se ejecuta el archivo adjunto.
• Netsky.X busca direcciones de correo electrónico en todos los archivos que tengan alguna de las siguientes extensiones:
  ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.
• Netsky.X se envía a sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.

Otros detalles:

Netsky.X está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 26112 Bytes y se encuentra comprimido mediante tElock.

Además, Netsky.X crea el mutex ____--->>>>U<<<<--____ para evitar varias ejecuciones simultáneas.