Según indicadores en tiempo real de Hispasec, ha pasado a ser el gusano
con mayor ratio de propagación a nivel internacional, incluido España
entre otros muchos países. Puede ser fácilmente detectable a simple
vista, ya que se propaga a través de e-mail en un archivo adjunto con
extensión .PIF de unos 17,4KB.
Estamos viviendo en los
últimos días una autentica ola de nuevas versiones de gusanos. A las
cinco nuevas variantes de Bagle distribuidas este fin de semana, hay que
sumarles hoy lunes la aparición en auténtica tromba de la variante
Netsky.D, que a juzgar por los últimos indicadores va camino de liderar
en un tiempo récord el TOP 10 del listado de propagación de virus,
puesto que hasta la fecha ocupaba uno de sus predecesores, Netsky.B.
Todo parece indicar que la ola no cesará en las próximas horas, en el momento
de escribir esta nota ya contamos con nuevas variantes de Netsky, y en
el laboratorio de Hispasec acabamos de detectar una nueva versión de
Bagle no reconocida por los antivirus. Seguiremos informando sobre estos
nuevos especímenes en el caso de que detectemos ratios importantes en su
propagación.
Desde Hispasec recomendamos se extremen las
precauciones con los mensajes de correo electrónico que incluyan
archivos adjuntos, y se configuren las actualizaciones automáticas de
las soluciones antivirus para que se realicen en intervalos de tiempo
más cortos (no basta con actualizar una vez al día).
Los antivirus
En relación a Netsky.D, la amenaza más activa de momento, la reacción de
las casas antivirus en proporcionar la actualización de la firma
específica para que sus clientes pudieran detectarlo, según el sistema
de monitorización 24hx7d del laboratorio de Hispasec, fue la siguiente:
[McAfee] 25.02.2004 19:16:31 :: W32/Netsky.c@MM
[Panda] 01.03.2004 11:52:40
:: W32/Netsky.D.worm
[NOD32] 01.03.2004 12:14:05 :: Win32/Netsky.D
[Sophos] 01.03.2004 12:45:30 :: W32/Netsky-D
[Kaspersky] 01.03.2004
13:01:12 :: I-Worm.NetSky.d
[TrendMicro] 01.03.2004 13:04:26 ::
WORM_NETSKY.D
[Norton] 01/03/2004 15:33:05 :: W32.Netsky.D@mm
Como en ocasiones anteriores, los tiempos mencionados son hora española
(GMT+1).
Destaca que McAfee detectaba a Netsky.D antes de que
apareciera, con la misma firma que incluyó el 25 de febrero para
detectar a su predecesor Netsky.C. En segundo lugar aparece Panda que ha
sido la primera casa en incluir la firma específica para Netsky.D,
mientras que NOD32 que aparece en tercer lugar a la hora de incluir la
firma, en realidad, reconocía a éste espécimen como sospechoso también
antes de que apareciera, a través de la función de heurística avanzada
del monitor residente, que tienen los usuarios de la versión 2.0 del
motor.
En cualquier caso podemos observar la rápida reacción de
todas las casas antivirus, que en apenas unas pocas horas han
desarrollado y distribuido las actualizaciones para neutralizar
Netsky.D, una muestra más de la importancia que ha alcanzado la
propagación de este gusano.
Descripción de Netsky.D
El gusano nos llega en un ejecutable adjunto comprimido con Petite y
extensión .PIF de unos 17KB (17,424 bytes), en un mensaje de correo
electrónico con las siguientes características:
Remitente: [dirección falseada]
Asunto: [Alguno de la siguiente
lista:]
Re: Hello
Re: Hi
Re: Thanks!
Re: Document
Re:
Message
Re: Here
Re: Details
Re: Your details
Re: Approved
Re: Your document
Re: Your text
Re: Excel file
Re: Word file
Re:
My details
Re: Your music
Re: Your bill
Re: Your letter
Re:
Document
Re: Your website
Re: Your product
Re: Your document
Re: Your software
Re: Your archive
Re: Your picture
Re: Here is
the document
Cuerpo del mensaje: [Alguno de la siguiente lista:]
Here is the file.
Your file is attached.
Your document is attached.
Please read the attached file.
Please have a look at the attached
file.
See the attached file for details.
Archivo adjunto:
[Alguno de la siguiente lista:]
yours.pif
your_text.pif
your_bill.pif
mp3music.pif
document.pif
my_details.pif
your_file.pif
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_details.pif
document_word.pif
all_document.pif
application.pif
your_picture.pif
document_excel.pif
document_4351.pif
document_full.pif
message_part2.pif
your_document.pif
message_details.pif
Más características
Cuando se ejecuta el archivo .PIF, el gusano inicia la infección del
sistema, copiándose como WINLOGON.EXE en la carpeta de Windows. A
continuación incluye la siguiente entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunICQ
Net = %WinDir%WINLOGON.EXE -stealth
(No confundir con el
ejecutable legítimo WINLOGON.EXE que puede encontrarse en la carpeta de
sistema de Windows).
El gusano incluye su propio motor SMTP para
autoenviarse a otras direcciones, que recopila del sistema infectado
buscando en todos los archivos con extensión .adb, .asp, .cgi, .dbx,
.dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb,
.txt, .uin, .vbs y .wab.
Netsky.D evita enviarse a las
direcciones recolectadas que incluyan algunas de las siguientes cadenas:
abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur,
avp, skynet, spam, messagelabs, ymantec, antivi, icrosoft.
Adicionalmente, y como hiciera también su predecesor Netsky.C, borra
varias entradas del registro, de forma que desactiva algunas
aplicaciones de seguridad y otros gusanos en el caso de que se
encontraran instalados en el sistema. También incluye un efecto basado
en emitir sonidos con tonos semialeatorios a través del altavoz del PC
infectado. Más información y ejemplos sobre estas características se
encuentran explicadas en la descripción que ofrecimos sobre Netsky.C: http://www.hispasec.com/unaaldia/1949
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…