Última actualització: 22/08/2004; 21:05:01
Weblog d'en Xavi Caballé
Pàgina personal de Xavier Caballé.
"All my struggling in the world and so many dreams that don't come true"
        

NetSky.D

Untitled

AVÍS: cuc Netsky.D, amb una alta propagació durant les últimes hores

Versió en català de l'original publicat per Hispasec

En les últimes hores s'ha detectat l'aparició d'aquesta nova variant del cuc Netsky, que destaca pel gran nombre de missatges infectats que estan sent registrats des d'un primer moment. Segons indicadors en temps real de Hispasec, ha passat a ser el cuc amb major ratio de propagació a nivell internacional, inclòs l'estat espanyol entre altres molts països. Pot ser fàcilment detectable a primera vista, ja que es propaga a través d'un missatge amb un fitxer adjunt amb extensió .PIF d'uns 17,4KB.

Estem vivint en els últims dies una autentica onada de noves versions de cucs. A les cinc noves variants de Bagle distribuïdes aquest cap de setmana, cal sumar-los avui dilluns l'aparició en autèntica tromba de la variant Netsky.D, que si s'ha de jutjar pels últims indicadors va camí de liderar en un temps rècord el TOP 10 del llistat de propagació de virus, ja que fins la data ocupava un dels seus predecessors, Netsky.B.

Tot sembla indicar que l'onada no cessarà en les pròximes hores, en el moment d'escriure aquesta nota ja contem amb noves variants de Netsky, i en el laboratori de Hispasec acabem de detectar una nova versió de Bagle no reconeguda pels antivírics. Seguirem informant sobre aquests nous espècimens en el cas que detectem ratios importants en la seva propagació.

Des d'Hispasec recomanem s'augmentin les precaucions amb els missatges de correu electrònic que incloguin fitxers adjunts, i es configurin les actualitzacions automàtiques dels programes antivírics perquè es realitzin en intervals de temps més curts (no n'hi ha prou amb actualitzar una vegada al dia).

En relació a Netsky.D, l'amenaça més activa de moment, la reacció dels fabricants en proporcionar l'actualització de la signatura específica perquè els seus clients poguessin detectar-ho, segons el sistema de monitoratge 24hx7d del laboratori de Hispasec, va anar la següent:

[McAfee] 25.02.2004 19:16:31 W32/Netsky.c@MM
[Panda> 01.03.2004 11:52:40 W32/Netsky.D.worm
[NOD32] 01.03.2004 12:14:05 Win32/Netsky.D
[Sophos] 01.03.2004 12:45:30 W32/Netsky-D
[Kaspersky] 01.03.2004 13:01:12 I-Worm.NetSky.d
[TrendMicro] 01.03.2004 13:04:26 WORMNETSKY.D
[Norton] 01/03/2004 15:33:05 W32.Netsky.D@mm

Com en ocasions anteriors, els temps esmentats són l'hora oficial (GMT+1).

Destaca que McAfee detectava a Netsky.D abans que aparegués, amb la mateixa signatura que va incloure el 25 de febrer per a detectar al seu predecessor Netsky.C. En segon lloc apareix Panda que ha estat el primer fabricant en incloure la signatura específica per a Netsky.D, mentre que NOD32 que apareix en tercer lloc a l'hora d'incloure la signatura, en realitat, reconeixia a aquest espècimen com sospitós també abans que aparegués, a través de la funció d'heurística avançada del monitor resident, que tenen els usuaris de la versió 2.0 del motor.

En qualsevol cas podem observar la ràpida reacció de totes els fabricants d'antivírics, que en tot just unes poques hores han desenvolupat i distribuït les actualitzacions per a neutralitzar Netsky.D, una mostra més de la importància que ha arribat a la propagació d'aquest cuc.

Descripció de Netsky.D

El cuc ens arriba en un executable adjunt comprimit amb Petite i extensió .PIF d'uns 17KB (17,424 bytes), en un missatge de correu electrònic amb les següents característiques:

Remitent: [adreça falsejada]
Assumpte: [Alguns de la següent llista:]
  • Re: Hello
  • Re: Hi
  • Re: Thanks!
  • Re: Document
  • Re: Message
  • Re: Here
  • Re: Details
  • Re: Your details
  • Re: Approved
  • Re: Your document
  • Re: Your text
  • Re: Excel file
  • Re: Word file
  • Re: My details
  • Re: Your music
  • Re: Your bill
  • Re: Your letter
  • Re: Document
  • Re: Your website
  • Re: Your product
  • Re: Your document
  • Re: Your programari
  • Re: Your arxivi
  • Re: Your picture
  • Re: Here is the document
Cos del missatge[Algun de la següent llista:]
  • Here is the file.
  • Your file is attached.
  • Your document is attached.
  • Please read the attached file.
  • Please have a look at the attached file.
  • See the attached file for details.
fitxer adjunt:[Alguns de la següent llista:]
  • yours.pif
  • yourtext.pif
  • yourbill.pif
  • mp3music.pif
  • document.pif
  • mydetails.pif
  • yourfile.pif
  • yourwebsite.pif
  • yourproduct.pif
  • yourletter.pif
  • yourarxivi.pif
  • yourdetails.pif
  • documentword.pif
  • alldocument.pif
  • application.pif
  • yourpicture.pif
  • documentexcel.pif
  • document_4351.pif
  • documentfull.pif
  • messagepart2.pif
  • yourdocument.pif
  • messagedetails.pif

Quan s'executa el fitxer .PIF, el cuc inicia la infecció del sistema, copiant-se com WINLOGON.EXE a la carpeta de Windows. A continuació inclou la següent entrada en el registre de Windows per a assegurar-se la seva execució en cada inici de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
   "ICQ Net" = %WinDir%WINLOGON.EXE -stealth

(No confondre amb l'executable legítim WINLOGON.EXE que pot trobar-se en la carpeta de sistema de Windows).

El cuc inclou el seu propi motor SMTP per a enviar-se automàticament a d'altres adreces, que recopila del sistema infectat buscant en tots els fitxers amb extensió .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb, .txt, .uin, .vbs i .wab.

Netsky.D evita enviar-se a les adreces recol·lectades que incloguin algunes de les següents cadenes: abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur, avp, skynet, spam, messagelabs, ymantec, antivi, icrosoft.

Addicionalment, i com fes també el seu predecessor Netsky.C, esborra diverses entrades del registre, de forma que desactiva algunes aplicacions de seguretat i altres cucs en el cas que es trobessin instal·lats en el sistema. També inclou un efecte basat a emetre sons amb tons semialeatoris a través de l'altaveu del PC infectat. Más informació i exemples sobre aquestes característiques es troben explicades en la descripció que vam oferir sobre Netsky.C

Més informació

Win32.Netsky.D@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=207

Win32.Netsky.D
http://www3.ca.com/virusinfo/virus.aspx?ID=38453

NetSky.D
http://www.f-secure.com/v-descs/netsky_d.shtml

Win32/Netsky.D
http://www.enciclopediavirus.com/virus/vervirus.php?id=749

I-Worm.Netsky.d
http://www.viruslist.com/eng/alert.html?id=1069526

W32/Netsky.d@MM
http://vil.nai.com/vil/content/v_101064.htm

W32/Netsky.D@mm
http://www.norman.com/virus_info/w32_netsky_d_mm.shtml

Nestky.D
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=45205

W32/Netsky-D
http://www.sophos.com/virusinfo/analyses/w32netskyd.html

W32.Netsky.D@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.d@;mm.html

W32/Netsky.d@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Netsky.d@;MM

WORM_NETSKY.D
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.D

Bernardo Quintero
bernardo@hispasec.com

© Copyright 2003-2004 Xavier Caballe. Click here to send an email to the editor of this weblog.
Last update: 22/08/2004; 21:05:01.