publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Netsky.B

Virus Netsky.B

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Netsky.B borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Además, Netsky.B muestra en pantalla el siguiente mensaje de error cuando es ejecutado:

Metodo de infección:

Netsky.B crea el archivo SERVICES.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.B crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    service = services.exe –serv
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service = services.exe –serv
    Si no consigue crear la primera de estas entradas, entonces intenta crear la segunda.
    Mediante la creación de cualquiera de estas dos entradas, Netsky.B se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.B borra las siguientes entradas del Registro de Windows, si existen:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KasperskyAv
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    system
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    system
    Estas entradas pertenecen a diversos gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Metodo de propagación:

Netsky.B se propaga a través del correo electrónico, de los programas de intercambio de archivos punto a punto (P2P) y de redes de ordenadores.

1.- Propagación a través del correo electrónico.

Netsky.B realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente: una de las siguientes opciones:
    - skynet@skynet.be
    - Netsky.B falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Para ello, utiliza alguna de las direcciones que recoge de los archivos existentes en el ordenador afectado. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: uno de los siguientes:
    fake
    hello
    information
    read it immediately
    something for you
    stolen
    unknown
    warning

    Contenido: una de las siguientes líneas:
    about me
    anything ok?
    do you?
    from the chatter
    greetings
    here
    here is the document.
    here it is
    here, the cheats
    here, the introduction
    here, the serials
    i found this document about you
    I have your password!
    i hope it is not true!
    i wait for a reply!
    i'm waiting ok
    information about you
    is that from you?
    is that true?
    is that your account?
    is that your name?
    kill the writer of this document!
    my hero
    read it immediately!
    read the details.
    reply
    see you
    something about you!
    something is fool
    something is going wrong
    something is going wrong!
    stuff about you?
    take it easy
    that is bad
    that's funny
    thats wrong
    what does it mean?
    why?
    yes, really?
    you are a bad writer
    you are bad you try to steal
    you earn money
    you feel the same
    your name is wrong

    Archivo adjunto: es variable, y habitualmente tiene doble extensión:
    Posibles nombres de archivo: ABOUTYOU, ATTACHMENT, BILL, CONCERT, CREDITCARD, DETAILS, DINNER, DISCO, DOC, DOCUMENT, FAKE, FINAL, FOUND, FRIEND, HELLO, HI, INFORMATION, JOKES, LOCATION, MAIL2, MAILS, ME, MESSAGE, MISC, MSG, NOMONEY, NOTE, OBJECT, PART2, PARTY, POSTING, PRODUCT, PS, RANKING, READ IT IMMEDIATELY, RELEASE, SHOWER, SOMETHING FOR YOU, STOLEN, STORY, STUFF, SWIMMINGPOOL, TALK, TEXTFILE, TOPSELLER, UNKNOWN, WARNING o WEBSITE.
    Primera extensión: DOC, HTM, RTF o TXT.
    Segunda extensión: COM, EXE, PIF o SCR. En algunas ocasiones, el archivo adjunto tiene únicamente alguna de las anteriores extensiones ejecutables, en lugar de una doble extensión.
    Además, el archivo adjunto también puede presentarse comprimido en formato ZIP.

    Los siguientes son sólo algunos ejemplos de posibles archivos adjuntos: ABOUTYOU.DOC.EXE, DOCUMENT.RTF.COM, WEBSITE.SCR, STUFF.ZIP, etc.

    Además, en un intento de engañar al usuario, estos archivos suelen presentar el mismo icono que un documento de Word:
  • El ordenador queda afectado cuando se ejecuta el archivo adjunto.
  • Netsky.B busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, TBB, TXT, UIN, VBS y WAB.
  • Netsky.B se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP. Obtiene el servidor SMTP del receptor empleando la dirección IP 217.5.100.1 para realizar consultas DNS al dominio de correo.

 

2.- Propagación a través de programas P2P.

Netsky.B realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios que contengan las cadenas de texto share o sharing. Busca tales directorios en unidades desde la C: hasta la Z:.
    De este modo, pretende realizar copias de sí mismo en los directorios compartidos de programas P2P.
  • Las copias de Netsky.B tienen los siguientes nombres:
    angels.pif
    cool screen saver.scr
    dictionary.doc.exe
    dolly_buster.jpg.pif
    doom2.doc.pif
    e.book.doc.exe
    e-book.archive.doc.exe
    eminem - lick my pussy.mp3.pif
    hardcore porn.jpg.exe
    how to hack.doc.exe
    matrix.scr
    max payne 2.crack.exe
    nero.7.exe
    office_crack.exe
    photoshop 9 crack.exe
    porno.scr
    programming basics.doc.exe
    rfc compilation.doc.exe
    serial.txt.exe
    sex sex sex sex.doc.exe
    strippoker.exe
    virii.scr
    win longhorn.doc.exe
    winxp_crack.exe
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Netsky.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Netsky.B.

 

3.- Propagación a través de redes de ordenadores.

Netsky.B intenta realizar copias de sí mismo en todas las unidades del ordenador, incluyendo las mapeadas. Comienza por la unidad C:, pero no realiza copias en las unidades correspondientes a CD-ROMs.

Otros detalles:

Netsky.B está escrito en el lenguaje de programación Visual C++ v5.0. El gusano tiene un tamaño de 22016 Bytes cuando está comprimido mediante UPX, y de 41984 Bytes una vez es descomprimido.

El gusano contiene la siguiente cadena, aunque no es mostrada en ningún momento:

#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

(not netsky-skynet!)
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork