publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Netsky.P

Virus Netsky.P

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación media Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Netsky.P borra las entradas del Registro de Windows pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle.

Metodo de infección:

Netsky.P crea los siguientes ficheros en el directorio de Windows:

  • FVPROTECT.EXE. Este fichero es una copia del gusano.
  • USERCONFIG9X.DLL. Este fichero es una DLL (Librería de Enlace Dinámico), que proporciona las funcionalidades del gusano.
  • ZIP1.TMP, ZIP2.TMP y ZIP3.TMP. Estos ficheros en formato MIME contienen una copia del gusano, comprimido en formato ZIP.
  • ZIPPED.TMP. Este fichero comprimido en formato ZIP contiene una copia del gusano.
  • BASE64.TMP. Este fichero en formato MIME contiene una copia del gusano.

Netsky.P crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Norton Antivirus AV = %windir%\ FVProtect.exe
    donde %windir% es el directorio de Windows.
    Mediante esta entrada, Netsky.P se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.P borra las siguientes entradas del Registro de Windows, si existen:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    msgsvr32
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    DELETE ME
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    d3dupdate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    au.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    winupd.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    winupd.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    direct.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    direct.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    jijbl
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Video
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    Video
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    gouday.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    rate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    sysmon.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    srate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ssate.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    OLE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Sentry
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
    PINF
  • HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ WksPatch
  • HKEY_CURRENT_USER\ Windows Services Host
  • HKEY_LOCAL_MACHINE\ Windows Services Host
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    Estas entradas pertenecen a diversos gusanos, entre ellos Mydoom.A, Mydoom.B, Mimail.T y diversas variantes de Bagle.

Metodo de propagación:

Netsky.P se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1.- Propagación a través del correo electrónico.

Netsky.P realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables. Netsky.P usa uno de dos posibles métodos, cada uno de los cuales tiene diferentes opciones:

    Remitente:
    Independientemente del método utilizado, Netsky.P falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Método A:

    Asunto:
    Opción 1: el gusano selecciona uno de los siguientes elementos fijos:
    Re: Administration
    Re: Bad Request
    Re: Delivery Protection
    Re: Delivery Server
    Re: Encrypted Mail
    Re: Error
    Re: Extended Mail
    Re: Extended Mail System
    Re: Failure
    Re: Mail Authentification
    Re: Mail Server
    Re: Message Error
    Re: Notify
    Re: Protected Mail Delivery
    Re: Protected Mail Request
    Re: Protected Mail System
    Re: Secure delivery
    Re: Secure SMTP Message
    Re: SMTP Server
    Re: Status
    Re: Test
    Re: Thank you for delivery
    Opción 2: el asunto está compuesto de palabras de alguna o todas las listas siguientes:
    Lista 1: Re:, Re: Re:
    Lista 2: approved, important, my, your
    Lista 3: application, approved, bill, corrected, data, details, document, document_all, excel document, file, hello, here, hi, important, improved, information, letter, message, patched, product, read it immediately, screensaver, text, thanks!, website, word document
    Por ejemplo: approved, Re: my details, Re: Re: important excel document, your information, etc.

    Contenido:
    Authentication required.
    I have attached your document.
    I have received your document. The corrected document is attached.
    Please confirm the document.
    Please read the attached file!
    Please read the document.
    Please read the important document.
    Please see the attached file for details.
    Requested file.
    See the file.
    You have received an extended message. Please read the instructions.
    Your details.
    Your document is attached to this mail.
    Your document is attached.
    Your document is attached.
    Your document.
    Your file is attached.
    Adicionalmente, el mensaje puede incluir alguno de los siguientes textos:
    +++ Attachment: No Virus found
    +++ MessageLabs AntiVirus - www.messagelabs.com

    +++ Attachment: No Virus found
    +++ Bitdefender AntiVirus - www.bitdefender.com

    +++ Attachment: No Virus found
    +++ MC-Afee AntiVirus - www.mcafee.com

    +++ Attachment: No Virus found
    +++ Kaspersky AntiVirus - www.kaspersky.com

    +++ Attachment: No Virus found
    +++ Panda AntiVirus - www.pandasoftware.com

    ++++ Attachment: No Virus found
    ++++ Norman AntiVirus - www.norman.com

    ++++ Attachment: No Virus found
    ++++ F-Secure AntiVirus - www.f-secure.com

    ++++ Attachment: No Virus found
    ++++ Norton AntiVirus - www.symantec.de

    Adjunto: uno de los siguientes:
    message
    msg
    details
    data
    document
    readme
    La extensión de estos archivos puede ser EXE, SCR o PIF. En algunos casos, existe una segunda extensión que puede ser DOC o TXT. En estos casos hay varios caracteres en blanco insertados entre ambas extensiones.

    Método B:

    Consiste en treinta casos posibles, cada uno de los cuales tiene diferentes opciones.
    El fichero adjunto es variable, y puede tener extensión única o doble extensión (en este caso, inserta varios caracteres en blanco entre ambas). Además, el fichero adjunto puede estar comprimido en formato ZIP.

    Caso 1:
    Asunto: uno de los siguientes:
    Protected Mail System
    Mail Authentication

    Contenido: uno de los siguientes:
    Encrypted message is available.
    Protected message is attached.

    Fichero adjunto: emplea uno de los siguientes nombres:
    DOCUMENT, ENCRYPTED_MSG01, MESSAGE, MSG, PGP_SESS01

    Caso 2:
    Asunto: uno de los siguientes:
    Re: Approved document
    Re: Your document

    Contenido: uno de los siguientes:
    Please read the attached file.
    Your document is attached.

    Fichero adjunto: emplea uno de los siguientes nombres:
    ABOUT_YOU, ALL_DOC01, APPROVED, CORRECTED, DOCUMENT, DOCUMENT04, FILE, IMPROVED, MSG, YOUR_DOCUMENT.

    Caso 3:
    Asunto: uno de los siguientes:
    Re: Is that your document?
    Is that your password?

    Contenido: uno de los siguientes:
    Can you confirm it?
    I have attached it to this mail.

    Fichero adjunto: emplea uno de los siguientes nombres:
    DOCUMENT, PWD02, DOCUMENT01, PART6, PRIVATE_01

    Caso 4:
    Asunto: uno de los siguientes:
    Mail Delivery (failure)
    Error

    Contenido: uno de los siguientes:
    Binary message is available.
    Message has been sent as a binary attachment.

    Fichero adjunto: emplea uno de los siguientes nombres:
    DATA, EMAIL, LETTER, MESSAGE, MSG

    Caso 5:
    Asunto: uno de los siguientes:
    Hello
    Hi

    Contenido: uno de los siguientes:
    Try this game ;-)
    I hope the patch works.

    Fichero adjunto: emplea uno de los siguientes nombres:
    APPLICATION, GAME, PATCH3425, SOFTWARE

    Caso 6:
    Asunto: uno de los siguientes:
    Private document
    Stolen document

    Contenido: uno de los siguientes:
    I found this document about you.
    I cannot believe that.

    Fichero adjunto: emplea uno de los siguientes nombres:
    ABOUT_YOU, DOCUMENT342, YOUR_DOCUMENT

    Caso 7:
    Asunto: uno de los siguientes:
    Re: Hi
    Re: Its me

    Contenido: uno de los siguientes:
    I have attached your file. Your passwor is jkl44563.
    The file is protected with the password ghj001.

    Fichero adjunto: emplea uno de los siguientes nombres:
    DATA20, DOCUMENT, DOCUMENT43, LETTER32, MAILS9, MY_DETAILS, PRIV, YOUR_DOC

    Para ver información del resto de casos, pulse aquí.

2.- Propagación a través de programas P2P.

Netsky.P realiza el siguiente proceso:

  • Crea copias de sí mismo en los directorios que contengan alguna de las siguientes cadenas de texto:
    my shared folder, download, ftp, htdocs, http, upload, shar, icq, bear, lime, morpheus, donkey, mule, kazaa o shared files.
    Estas copias tienen los siguientes nombres:
    1001 Sex and more.rtf.exe
    3D Studio Max 6 3dsmax.exe
    ACDSee 10.exe
    Adobe Photoshop 10 crack.exe
    Adobe Photoshop 10 full.exe
    Adobe Premiere 10.exe
    Ahead Nero 8.exe
    Altkins Diet.doc.exe
    American Idol.doc.exe
    Arnold Schwarzenegger.jpg.exe
    Best Matrix Screensaver new.scr
    Britney sex xxx.jpg.exe
    Britney Spears and Eminem porn.jpg.exe
    Britney Spears blowjob.jpg.exe
    Britney Spears cumshot.jpg.exe
    Britney Spears fuck.jpg.exe
    Britney Spears full album.mp3.exe
    Britney Spears porn.jpg.exe
    Britney Spears Sexy archive.doc.exe
    Britney Spears Song text archive.doc.exe
    Britney Spears.jpg.exe
    Britney Spears.mp3.exe
    Clone DVD 6.exe
    Cloning.doc.exe
    Cracks & Warez Archiv.exe
    Dark Angels new.pif
    Dictionary English 2004 - France.doc.exe
    DivX 8.0 final.exe
    Doom 3 release 2.exe
    E-Book Archive2.rtf.exe
    Eminem blowjob.jpg.exe
    Eminem full album.mp3.exe
    Eminem Poster.jpg.exe
    Eminem sex xxx.jpg.exe
    Eminem Sexy archive.doc.exe
    Eminem Song text archive.doc.exe
    Eminem Spears porn.jpg.exe
    Eminem.mp3.exe
    Full album all.mp3.pif
    Gimp 1.8 Full with Key.exe
    Harry Potter 1-6 book.txt.exe
    Harry Potter 5.mpg.exe
    Harry Potter all e.book.doc.exe
    Harry Potter e book.doc.exe
    Harry Potter.doc.exe
    Harry Pottergame.exe
    How tohack new.doc.exe
    Internet Explorer 9 setup.exe
    Kazaa Lite 4.0 new.exe
    Kazaa new.exe
    Keygen 4 all new.exe
    Learn Programming 2004.doc.exe
    Lightwave 9 Update.exe
    Magix VideoDeluxe 5 beta.exe
    Matrix.mpg.exe
    Microsoft Office 2003 Crack best.exe
    Microsoft WinXP Crack full.exe
    MS Service Pack 6.exe
    netsky sourcecode.scr
    Norton Antivirus 2005 beta.exe
    Opera 11.exe
    Partitionsmagic 10 beta.exe
    Porno Screensaver britney.scr
    RFC compilation.doc.exe
    Ringtones.doc.exe
    Ringtones.mp3.exe
    Saddam Hussein.jpg.exe
    Screensaver2.scr
    Serials edition.txt.exe
    Smashing the stack full.rtf.exe
    Star Office 9.exe
    Teen Porn 15.jpg.pif
    The Sims 4 beta.exe
    Ulead Keygen 2004.exe
    Visual Studio Net Crack all.exe
    Win Longhorn re.exe
    WinAmp 13 full.exe
    Windows 2000 Sourcecode.doc.exe
    Windows 2003 crack.exe
    Windows XP crack.exe
    WinXP eBook newest.doc.exe
    XXX hardcore pics.jpg.exe

  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Netsky.P, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.

  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Netsky.P.

Otros detalles:

Netsky.P está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 29568 Bytes y está comprimido mediante FSG.

El fichero ejecutable de Netsky.P crea un mutex llamado 'D'r'o'p'p'e'd'S'k'y'N'e't', mientras que la DLL crea que tiene por nombre _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_. Cada fichero crea su mutex correspondiente para asegurarse de que no se ejecuta varias veces al mismo tiempo.

El código del fichero ejecutable contiene el siguiente texto:

U'l't'i'm'a't'i'v'e 'E'n'c'r'y'p't'e'd 'W'o'r'm'D'r'o'p'p'e'r' 'b'y 'S'k'y'N'e't'.'C'Z' 'C'o'r'p*' 'D'r'o'p'p'e'd'S'k'y'N'e't' 'S'k'y'N'e't'F'i'g'h't's'B'a'c'k

mientras que la DLL contiene este otro:

Bagle, do not delete SkyNet. You fucked bitch! Wanna go into a prison?
We are the only AntiVirus, not Bagle, shut up and take your butterfly! - Message from SkyNet AVTeam Lets join an alli-A-n-C-e-,bagle!

Sin embargo, estos textos no son mostrados en ningún momento.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork