Nuevo gusano Netsky.B
Por segundo día consecutivo un nuevo gusano de propagación masiva vuelve a
ocupar el protagonismo de nuestra información. Se trata de la variante B del
gusano Netsky, bautizado como Netsky.B
que basa su propagación en el correo electrónico y las redes de intercambio de
archivos y que en estos momentos ya ha infectado a múltiples usuarios.
Este virus se propaga a través del correo electrónico y todas las unidades
disponibles del sistema infectado (desde la C: hasta la Z:), lo que incluye las
unidades de red a las que tenga acceso. Se envía a si mismo a las direcciones
que encuentra en el sistema de la víctima y se copia con atractivos nombres en
las carpetas que contengan las palabras "share"
o "sharing" de cualquiera de las unidades,
con objeto de propiciar su distribución a través de aplicaciones P2P como KaZaA, eMule o similares.
Netsky.B se puede presentar en múltiples formas
diferentes, lo que puede dificultar su identificación a simple vista. Para autoenviarse emplea su propio motor SMTP, falsificando el
e-mail del remitente (con direcciones obtenidas del sistema del usuario
rastreando entre archivos de diversas extensiones, como .html,
.html, .php, .eml, .msg, txt,
.wab o comprimido en un .zip).
De esta forma la dirección no corresponderá al usuario realmente infectado
desde cuyo sistema se está enviando el gusano.
La regla de oro a seguir es no abrir o ejecutar archivos potencialmente
peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente, contar
con soluciones antivirus correctamente instaladas y puntualmente actualizadas.
También resulta útil seguir los foros de seguridad o listas como
"una-al-día", para estar al tanto de las últimas amenazas que nos
pueden afectar.
El asunto del mensaje puede ser uno de los siguientes:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
El cuerpo del mensaje es una frase corta en inglés elegida aleatoriamente
entre más de 40 diferentes. De forma similar ocurre con el nombre del archivo
adjunto, cuya extensión puede variar entre .doc, .htm, .rtf o .text,
seguido de .com, .exe, .pif o .scr para lograr su
ejecución.
El gusano se copia a si mismo en la carpeta %WinDir%
(Windows) con el nombre de archivo "services.exe". Y se crea la
siguiente clave del registro para asegurarse su ejecución cada vez que el
usuario inicie el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"service" =C:\WINNT\services.exe -serv
El virus elimina las siguientes claves del registro provocando entre otros
efectos la desactivación de los gusanos Mydoom.A y Mydoom.B en el caso de encontrarse en el sistema infectado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Explorer
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run system.
Más información:
W32/Netsky.b@MM
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101034&cid=9647
Netsky.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=44815&sind=0
W32.Netsky.B@mm
http://www.sybari.com/alerts/alertdetail.asp?Name=W32.Netsky.B@mm
Win32.Netsky.B
http://www3.ca.com/virusinfo/virus.aspx?ID=38332
W32/Netsky-B
http://www.sophos.com/virusinfo/analyses/w32netskyb.html
I-Worm.Moodown.b
http://www.viruslist.com/eng/alert.html?id=989639
W32/Netsky.B@mm
http://www.norman.com/virus_info/netsky_b_mm.shtml
I-Worm.Moodown.b
http://www.viruslist.com/eng/alert.html?id=989639
W32.Netsky.B@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.b@mm.html
WORM_NETSKY.B
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_NETSKY.B