Nueva variante del gusano Netsky

SeguridadVirus

Ayer, día 13, comenzó la propagación de una nueva variante del gusano Netsky, de aparente origen brasileño, y que se ha convertido en la muestra más reportada de las últimas 24 horas en VirusTotal.

Reacciones antivirus

Destacan los siguientes motores antivirus por detectar a esta nueva variante antes de que comenzara su propagación masiva, bien por heurística o con la firma de una variante anterior, protegiendo a sus clientes desde el primer momento:

BitDefender Win32.SMTP-MassMailer

Kaspersky I-Worm.NetSky.b

NOD32 Win32/Netsky.B

Norman W32/EMailWorm

A continuación los tiempos de reacción de los antivirus en distribuir firmas específicas para detectar al gusano (hora de España):

NOD32 13.10.2004 01:47:50 :: Win32/Netsky.B1

Panda 13.10.2004 21:57:16 :: W32/Netsky.B.worm

ClamAV 13.10.2004 22:22:24 :: Worm.Somefool.Gen-3

TrendMicro 14.10.2004 01:18:14 :: WORM_NETSKY.AF

InoculateIT 14.10.2004 02:34:54 :: Win32/Netsky.AE.Worm

Norton 14.10.2004 03:23:45 :: W32.Netsky.AD@mm

Sophos 14.10.2004 06:18:00 :: W32/Netsky-AD

Norman 14.10.2004 17:00:08 :: Netsky.AD@mm

McAfee 14.10.2004 17:14:48 :: W32/Netsky.ag@MM!zip

BitDefender 14.10.2004 17:55:37 :: Win32.NetSky.AE@mm

F-Prot 14.10.2004 21:36:34 :: W32/Netsky.AH@mm

En el caso de Panda, además de la firma distribuida el día 13, realizó una actualización posterior el día 14 a las 18:41 en la que modificó el nombre del gusano identificándolo como W32/Netsky.AG.worm.

Descripción del gusano

Cuando se ejecuta en un sistema, se copia como MsnMsgrs.exe en el directorio de Windows. Para asegurarse su ejecución en cada inicio de sistema, introduce la siguiente entrada en el registro:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

“MsnMsgr” = %Windir%MsnMsgrs.exe -alev

Además realiza diferentes copias de si mismo en el directorio de Windows con los siguientes nombres:

Agradou.zip

agua!.zip

AIDS!.zip

aqui.zip

banco!.zip

bingos!.zip

botao.zip

brasil!.zip

carros!.zip

circular.zip

contas!!.zip

criancas!.zip

diga.zip

dinheiro!!.zip

docs.zip

email.zip

festa!!.zip

flipe.zip

grana!!.zip

grana.zip

imposto.zip

impressao!!.zip

jogo!.zip

lantrocidade.zip

LINUSTOR.zip

loterias.zip

lulao!.zip

massas!.zip

missao.zip

MsnMsgrs.exe

revista.zip

robos!.zip

sampa!!.zip

sorteado!!.zip

tetas.zip

vaca.zip

vadias!.zip

vips!.zip

Voce.zip

war3!.zip

Zerado.zip

La propagación por correo electrónico la realiza a través de su propio motor SMTP, falseando la dirección de remite, y recopilando las direcciones a las que enviarse del interior de los archivos con extensiones .adb, .asp, .dbx, .doc, .eml, .htm, .html, .php, .pl, .php, .rtf, .oft, .sht, .scs, .uin, .vbs, .wab, .tbb y .txt.

El asunto de los mensajes puede ser uno de los siguientes:

:)

agradou

diga

impressao!!

massas!

morto

pescaria por kilo

robos!

Sua saude esta bem?

El cuerpo lo elige de alguno de los siguientes:

PizzaVeneza!

preenche ai ta bom

encontro voce!

veja detalhes!!!.

reza de sao tome!!!!.

Abra rapido isso!!!!

AmaVoce

AMA!

ve ai logo ta

voce passou :D!!!

arquivo zipado PGP???

retorna logo isso!!

me diz o queacha?

estou doente veja!!!

Proposta de emprego!!

tudo sobre voce sabe

promocao de viajens de fim de ano

acrdito que em voce!!!

receitas de bolo!!

veja o que tem no zip e me liga

Boleto Pague

Sua Conta!!

Policia SP

te amo!

parabens!

olha que isso!!!

sua conta bancaria zerada

Vacina contra o HIV!!

Surto :(

ferias nos E.U.A

meu telefone liga

Medical Labs Exames!!!

Hackers do Brasil

amor me liga

Lembra?

grana

sinto voce!!

pq nao me liga??

vaca

campanhadafome

ganhe muita grana

falea verdade!!!

algo a mais

gostaria disso e voce???

me veja peladinha

El nombre del archivo adjunto, con extensión .bat, .com, .pif, .scr o .zip, puede ser:

agradou

agua!

AIDS!

banco!

bingos!

botao

brasil!

carros!

circular

contas!!

criancas!

dinheiro!!

email

festa!!

flipe

grana

grana!!

imposto

impressao!!

jogo!

lantrocidade

LINUSTOR

loterias

lulao!

massas!

missao

morto

pescaria por kilo

revista

robos!

sampa!!

sorteado!!

Sua saude esta bem?

tetas

vadias!

vips!

war3!

zerado

La propagación por redes P2P intenta llevarla a cabo copiándose en todas las carpetas con nombre “share” o “sharing” que encuentra en el sistema, que suele coincidir con las carpetas por defecto que comparten los clientes P2P.

aninha gatinha!.zip.scr

barrio.scr

cafe!!.zip.scr

Canaval2004!.jpg.pif

Carnaval em Salvador!!.zip.scr

caspa.scr

celulares!!.zip.scr

clica ai logo meu.scr

comoserrico!.zip.scr

importante!!!!!.zip.scr

minhavida!.zip.exe

MulataDandoOcujpg.scr

multas.pif

paula!.scr

puteiros!!.scr

receitas de bolo!!.zip.scr

rede globo tv!.zip.scr

ResidentEvil2.zip.scr

rocha.scr

traficoemSP!.scr

vadias peladas!!.scr

vida!!.zip.scr

VivaNaBaia!.scr

Vota!.zip.scr

Lea también :