miércoles, 25 de febrero de 2004

Gusano Netsky.C, más de lo mismo

Algunas casas han alertado sobre este nuevo gusano, e indican que
existen incidencias relevantes en algunos países. Si bien en España,
según indicadores de Hispasec, los casos detectados hasta el momento
han sido mínimos, y queda muy lejos de los ratios que sitúan como
gusano más propagado a la variante Netsky.B, de similares
características.

La reacción de las diferentes casas antivirus en proporcionar la
actualización para Netsky.C a sus clientes, según el sistema de
monitorización 24hx7d del laboratorio de Hispasec, ha sido la
siguiente:

NOD32 25/02/2004 14:53:27 Win32/Netsky.C
Panda 25/02/2004 15:31:33 W32/Netsky.C.worm
Kaspersky 25/02/2004 17:14:57 I-Worm.Moodown.c
Sophos 25/02/2004 18:13:11 W32/Netsky-C
McAfee 25/02/2004 19:16:31 W32/Netsky.c@MM
Norton 25/02/2004 19:28:06 W32.Netsky.C@mm
TrendMicro 25/02/2004 19:30:29 WORM_NETSKY.C
InoculateIT 25/02/2004 20:19:25 Win32/Netsky.C.Worm

En estos momentos se está trabajando en la incorporación de más
motores antivirus al sistema de monitorización, por lo que esperamos
en breve aumentar el número de casas antivirus referenciadas en este
indicador. En todos los casos los tiempos mencionados son hora
española (GMT+1).

Respecto a las características de Netsky.C, como ya avanzamos en
el titular, es muy similar a sus predecesores, Netsky.A y Netsky.B,
este último de gran incidencia.


Diferencias con sus predecesores

Como principales diferencias, destaca que los ejecutables de Netsky.C
se han presentado de varias formas y tamaños al ser comprimidos por
diferentes utilidades, como Petite (25,353 bytes), Aspack
(28,160 bytes) y UPX (24,064 bytes). Esto puede representar ciertos
problemas a los motores que no reconozcan estos formatos de
compresión, haciendo necesario que introduzcan varias firmas para
detectar las diferentes formas en que puede presentarse.

Otra diferencia es que Netsky.C no muestra un mensaje de error cuando
es ejecutado, como si lo hacían Netsky.A y Netsky.B. Además incluye un
payload que se activa el 26 de febrero desde las 6 hasta las 9 de la
mañana, consistente en emitir sonidos de diferentes frecuencias por el
altavoz del ordenador, que vienen a recordar a los sonidos que
simulaban robots o computadores en las antiguas películas de ciencia
ficción.

Algunas casas antivirus han proporcionado un archivo de audio .WAV
para que los usuarios puedan escucharlo y reconocerlo sin riesgos, por
ejemplo:

http://vil.nai.com/images/101048.wav
http://www.pandasoftware.es/img/enc/W32NetskyC.wav


Infección del sistema

Cuando se ejecuta, realiza una copia de si mismo en la carpeta de
Windows como Winlogon.exe, e incluye la siguiente entrada en el
registro de Windows para asegurarse su ejecución en cada inicio de
sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ICQ Net" = "%Windir%\winlogon.exe -stealth"

Además borra diferentes valores en el registro de Windows, con el fin
de desactivar algunos gusanos que pudieran estar presentes en el
sistema, como Mydoom.A, Mydoom.B, Netsky.A, Netsky.b y Mimail.T, o
antivirus como Kaspersky.


Distribución por correo electrónico, unidades de disco, y redes P2P

Al igual que su predecesor Netsky.B, se trata de un gusano que se
distribuye principalmente a través del correo electrónico. También
puede infectar a otros equipos a través de las unidades de red (chequea
desde la C: hasta la Z:) y se copia en las carpetas cuyo nombre
contenga la cadena "Shar", que en muchos casos se corresponderán con
las carpetas compartidas de los clientes P2P (por ejemplo, el popular
KaZaa).

Para copiarse en las carpetas compartidas de los clientes P2P, como
suele ser habitual en este tipo de gusanos, utiliza nombres de
archivos con referencias a contenidos pornográficos, cracks,
aplicaciones pirateadas, archivos de música, documentos, etc.,
que pretenden ser atractivos para que otros usuarios de las redes
P2P lo descarguen y ejecuten, logrando su infección.

Por e-mail se puede presentar de múltiples formas diferentes, lo que
puede dificultar su identificación a simple vista, aunque la extensión
del archivo terminará en .ZIP, .COM, .EXE, .PIF o .SCR.

Para autoenviarse emplea su propio motor SMTP, falsificando el e-mail
del remitente, con direcciones del sistema del usuario que obtiene
rastreando entre archivos de diversas extensiones, como .adb, .asp,
.cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl,
.rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, y .wab.

El asunto del mensaje en el que viaja, el texto del cuerpo, o el
nombre del archivo, son muy variables, en función de unas extensas
listas que el gusano incorpora. Si bien destaca que todos los textos
son en inglés, lo que favorece a los usuarios de otras lenguas, como
el español, que por este motivo pueden ser más recelosos a la hora
de abrir los mensajes en el que viaja Netsky.C y sus otras variantes.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

18/02/2004 - Nuevo gusano Netsky.B
http://www.hispasec.com/unaaldia/1942

Win32.Netsky.C@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=202

Win32.Netsky.C
http://www3.ca.com/virusinfo/virus.aspx?ID=38406

WIN32/NETSKY.C
http://www.enciclopediavirus.com/virus/vervirus.php?id=742&alerta=1

W32/Netsky.c@MM
http://vil.nai.com/vil/content/v_101048.htm

W32/Netsky.C@mm
http://www.norman.com/virus_info/w32_netsky_c_mm.shtml

Netsky.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=45084

W32.Netsky.C@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.c@mm.html

W32/Netsky-C
http://www.sophos.com/virusinfo/analyses/w32netskyc.html

W32/Netsky.c@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Netsky.c@MM

W32/Netsky.C. Se propaga por e-mail y redes P2P
http://www.vsantivirus.com/netsky-c.htm

No hay comentarios:

Publicar un comentario