Netsky (gusano)

NetSky
Nombre completo (Kaspersky) Email-Worm.Win32.NetSky.a (primera variedad)
Tipo de gusano de correo masivo
Año de aparición 2004
Descripción de Symantec

El gusano NetSky  es un virus informático descubierto en Internet el 16 de febrero de 2004 .

Datos generales

También conocido como:

Otras modificaciones: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Como cualquier gusano de correo electrónico , NetSky utiliza el correo electrónico para propagarse . Se han registrado más de 20 cepas de este virus.

Este virus se detectó por primera vez el 16 de febrero de 2004 . Es un archivo PE EXE estándar empaquetado con el programa UPX . El tamaño del archivo ejecutable es de unos 20 KB (aprox. 40 KB desempaquetado).

Comportamiento

Al iniciarse, el gusano muestra un mensaje de error falso: "¡No se pudo abrir el archivo!", se copia en el directorio de Windows y se registra en la clave de ejecución automática del registro del sistema. También crea muchas copias de sí mismo en subdirectorios que contienen la palabra "Compartir" o "Compartir" en el nombre y les asigna los siguientes nombres:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matriz.scr porno.scr angeles.pif porno duro.jpg.exe office_crack.exe serie.txt.exe genial salvapantallas.scr eminem - lamer mi coño.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe cómo hackear.doc.exe conceptos basicos de programacion.doc.exe e.book.doc.exe ganar longhorn.doc.exe diccionario.doc.exe rfc compilation.doc.exe sexo sexo sexo sexo.doc.exe doom2.doc.pif

y también copia varias copias de sí mismo en formato ZIP con nombres de la lista:

documento mensaje doc hablar mensaje tarjeta de crédito detalles archivo adjunto yo cosas destino Archivo de texto concierto información Nota factura piscina producto mejor vendedor PD ducha acerca de ti Sin dinero fundar historia correos sitio web amigo chistes ubicación final liberar cena clasificación objeto correo2 parte 2 disco fiesta varios #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

El gusano busca archivos con extensiones adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs y wab, encuentra direcciones de correo electrónico en ellos y les envía copias de ellos. Utiliza su propia biblioteca SMTP para enviar correos electrónicos .

Los correos electrónicos infectados se forman a partir de combinaciones arbitrarias: Asunto:

Hola hola Hola léelo inmediatamente algo para ti advertencia información robado falso desconocido

Texto de la carta:

AlgoOk? algo bien? ¿Qué significa eso? OK Estoy esperando lee los detalles aquí está el documento. ¡léelo inmediatamente! mi héroe aquí ¿es eso cierto? ¿Ese es tu nombre? esa es tu cuenta? espero una respuesta! eso es de ti? eres un mal escritor ¡Tengo tu contraseña! ¡algo sobre ti! ¡maten al escritor de este documento! ¡Espero que no sea cierto! tu nombre esta mal encontré este documento sobre ti ¿Sí, en serio? eso es malo aquí está nos vemos saludos cosas sobre ti? ¡algo esta mal! Información acerca de ti sobre mí de la charla aquí, las series aquí, la introducción aqui los trucos Es gracioso ¿tú? respuesta tómalo con calma ¿por qué? eso está mal varios tu ganas dinero sientes lo mismo tratas de robar eres malo algo esta mal algo es tonto

El gusano elimina los virus Mydoom y Bagle del sistema . Para ello, se eliminan del registro del sistema las claves "Explorer" y "Taskmon" en las siguientes ramas:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
y también : HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Información adicional

  1. El autor del programa malicioso terminó su desarrollo con la cepa NetSky.K (según sus propias declaraciones). Esta versión no realizó ninguna acción maliciosa, solo eliminó los virus Mydoom y Bagle . Además, se encontró un mensaje en el código fuente que decía que el código del programa pronto se publicaría en la red. Dos días después, se descubrieron las cepas L y M. Los expertos creen que fueron escritas por "imitadores".
  2. La cepa NetSky.X envió mensajes en inglés, sueco, finlandés, polaco, noruego, portugués, italiano, francés y alemán. “En muchos casos, resultó que el mensaje estaba compuesto con errores, lo que indica que el autor del virus no pidió ayuda para traducir aquellos para quienes estos idiomas son nativos. En su lugar, utilizó algún tipo de sistema de traducción en línea como Babel Fish ", dice la firma finlandesa de antivirus F-Secure . De lo contrario, NetSky.X es similar a sus 23 hermanos.
  3. El gusano lleva a cabo un ataque de Denegación de Servicio ( DoS ) en tres sitios web alemanes: www.nibis.de, www.medinfo.ufl.edu y www.educa.ch.
  4. En agosto de 2006, el virus Netsky.P encabezó la tabla de TOP-10 programas maliciosos, manteniendo su liderazgo durante más de dos años, a pesar de la disponibilidad de correcciones. Netsky.P representó el 19,9% de todos los informes de infecciones de malware del mes, según un informe publicado por la firma de análisis Sophos. Netsky.P, que sigue siendo el más difundido de los gusanos de correo electrónico, fue nombrado el virus más peligroso de 2004.

Fuentes

  1. Descripción del virus en la base de datos de Symantec  (ing.)
  2. Descripción del gusano en el sitio web Viruslist.com de Kaspersky Lab
  3. Descripción de CJSC "Diálogo-Ciencia"
  4. Descripción de CJSC "Diálogo-Ciencia"
  5. Noticias de Tecnología Positiva
  6. GAZETA.ru - Autor Netsky.X es débil en idiomas

Véase también