NetSky.P

cuc Netsky.P: el més propagat en les últimes 24 hores

Una vegada més una nova variant del cuc Netsky lidera la llista dels virus més propagats. El correu electrònic segueix sent la seva principal via de transmissió, si bé també intenta infectar utilitzant altres mitjans: copiant-se a les carpetes de fitxers compartits dels clients P2P, FTP i fitxers baixats amb HTTP.

La reacció dels fabricants d'antivírics en proporcionar l'actualització de la signatura específica perquè els seus clients poguessin detectar a Netsky.P, segons el sistema de monitorització 24hx7d del laboratori de Hispasec, va ser següent:

Com en ocasions anteriors, l'hora indicada és l'oficial (GMT+1).

El missatge que utilitza el cuc per a propagar-se per correu electrònic pot aprofitar-se d'una antiga vulnerabilitat que afectava a l'Internet Explorer 5.x, i que va ser corregida per Microsoft el 29 de març de 2001. Bàsicament aquesta vulnerabilitat permet executar un fitxer associat de forma automàtica amb tan només visualitzar el missatge, sense necessitat que l'usuari obri o executi el fitxer.

Els usuaris d'Internet Explorer 6 i/o que mantinguin el seu sistema Windows actualitzat, no es troben afectats per l'execució automàtica del cuc. Si bé, no estan lliures de la infecció si intenten obrir el fitxer associat de forma manual.

Si executem el fitxer associat infectat, el cuc es copia a la carpeta de Windows com FVProtect.exe, a més de crear els següents fitxers dins d'aquest mateix directori:

userconfig9x.dll

base64.tmp

zip1.tmp

zip2.tmp

zip3.tmp

zipped.tmp

Com acostuma a ser habitual en aquests casos, per a assegurar la seva execució en cada inici de sistema, inclou la següent entrada al registre de Windows, simulant ser un component de l'antivíric Norton:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
   \Windows\CurrentVersion\Run
   "Norton Antivirus AV" = %WinDir%FVProtect.exe

Utilitzant el seu propi motor SMTP, com en versions anteriors de Netsky, s'envia a les adreces que recol·lecta de diversos fitxers del sistema infectat. L'adreça de remitent és falsejada, i els textos de l'assumpte els elegeix d'una llista, entre els quals es troben:

Re: Administration

Re: Bad Request

Re: Delivery Protection

Re: Delivery Server

Re: Encrypted Mail

Re: Error

Re: Extended Mail

Re: Extended Mail System

Re: Failure

Re: Mail Authentification

Re: Mail Server

Re: Message Error

Re: Notify

Re: Protected Mail Delivery

Re: Protected Mail Request

Re: Protected Mail System

Re: Secure delivery

Re: Secure SMTP Message

Re: SMTP Server

Re: Status

Re: Test

Re: Thank you for delivery

Mail Delivery (failure)

El cos també es compon amb diversos textos en anglès escollits de dues llistes, afegint al final un tercer text per a simular que el missatge ha estat analitzat per algun antivíric i que està lliure de virus:

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
 

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
 

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
 

+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
 

+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
 

++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
 

++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
 

++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
 

L'extensió del fitxer associat infectat pot ser .exe, .pif, .scr, i .zip, i el nom també és bastant variable.

Per a infectar a través de les xarxes P2P, servidors FTP i HTTP, el cuc intenta copiar-se a les carpetes el nom de les quals contingui algun dels següents textos, que corresponen, entre d'altres, als directoris de fitxers compartits de diversos clients P2P (Kazaa, edonkey, emule,...):

bear

donkey

download

ftp

htdocs

http

icq

kazaa

lime

morpheus

mule

my shared folder

shar

shared files

upload

Els noms de fitxer amb els quals es copia en aquestes carpetes, simulant diverses aplicacions i continguts, i que cal evitar baixar-los via P2P, són els següents:

Kazaa Lite 4.0 new.exe

Britney Spears Sexy archive.doc.exe

Kazaa new.exe

Britney Spears porn.jpg.exe

Harry Potter all e.book.doc.exe

Britney sex xxx.jpg.exe

Harry Potter 1-6 book.txt.exe

Britney Spears blowjob.jpg.exe

Harry Potter e book.doc.exe

Britney Spears cumshot.jpg.exe

Harry Potter.doc.exe

Britney Spears fuck.jpg.exe

Harry Potter game.exe

Britney Spears.jpg.exe

Harry Potter 5.mpg.exe

Britney Spears and Eminem porn.jpg.exe

Matrix.mpg.exe

Britney Spears Song text archive.doc.exe

Britney Spears full album.mp3.exe

Eminem.mp3.exe

Britney Spears.mp3.exe

Eminem Song text archive.doc.exe

Eminem Sexy archive.doc.exe

Eminem full album.mp3.exe

Eminem Spears porn.jpg.exe

Ringtones.mp3.exe

Eminem sex xxx.jpg.exe

Ringtones.doc.exe

Eminem blowjob.jpg.exe

Altkins Diet.doc.exe

Eminem Poster.jpg.exe

American Idol.doc.exe

Cloning.doc.exe

Saddam Hussein.jpg.exe

Arnold Schwarzenegger.jpg.exe

Windows 2003 crack.exe

Windows XP crack.exe

Adobe Photoshop 10 crack.exe

Microsoft WinXP Crack full.exe

Teen Porn 15.jpg.pif

Adobe Premiere 10.exe

Adobe Photoshop 10 full.exe

Best Matrix Screensaver new.scr

Porno Screensaver britney.scr

Dark Angels new.pif

XXX hardcore pics.jpg.exe

Microsoft Office 2003 Crack best.exe

Serials edition.txt.exe

Screensaver2.scr

Full album all.mp3.pif

Ahead Nero 8.exe

netsky source code.scr

E-Book Archive2.rtf.exe

Doom 3 release 2.exe

How to hack new.doc.exe

Learn Programming 2004.doc.exe

WinXP eBook newest.doc.exe

Win Longhorn re.exe

Dictionary English 2004 - France.doc.exe

RFC compilation.doc.exe

1001 Sex and more.rtf.exe

3D Studio Max 6 3dsmax.exe

Keygen 4 all new.exe

Windows 2000 Sourcecode.doc.exe

Norton Antivirus 2005 beta.exe

Gimp 1.8 Full with Key.exe

Partitionsmagic 10 beta.exe

Star Office 9.exe

Magix Video Deluxe 5 beta.exe

Clone DVD 6.exe

MS Service Pack 6.exe

ACDSee 10.exe

Visual Studio Net Crack all.exe

Cracks & Warez Archiv.exe

WinAmp 13 full.exe

DivX 8.0 final.exe

Opera 11.exe

Internet Explorer 9 setup.exe

Smashing the stack full.rtf.exe

Ulead Keygen 2004.exe

Lightwave 9 Update.exe

The Sims 4 beta.exe

Addicionalment Netsky.P esborra diverses entrades del registre de Windows, sent capaç de desactivar certes variants del cuc Bagle. En el codi de Netsky.P també es poden trobar diversos textos insultant al creador de Bagle.

Més informació

Win32.Netsky.P@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=220

Win32.Netsky.P
http://www3.ca.com/threatinfo/collateral.aspx?areaid=635&cid=57180

WIN32/NETSKY.Q
http://www.enciclopediavirus.com/virus/vervirus.php?id=785

NetSky.P
http://www.f-secure.com/v-descs/netsky_p.shtml

I-Worm.Netsky.q
http://www.viruslist.com/eng/viruslist.html?id=1209723

W32/Netsky.p@MM
http://vil.nai.com/vil/content/v_101119.htm

Netsky.P
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=45740

W32/Netsky-P
http://www.sophos.com/virusinfo/analyses/w32netskyp.html

W32.Netsky.P@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.p@;mm.htm

WORM_NETSKY.P
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.P

W32/Netsky.Q. Puede ejecutarse sin abrir el mensaje
http://www.vsantivirus.com/netsky-q.htm