miércoles, 18 de febrero de 2004

Nuevo gusano Netsky.B

Por segundo día consecutivo un nuevo gusano de propagación masiva
vuelve a ocupar el protagonismo de nuestra información. Se trata de
la variante B del gusano Netsky, bautizado como Netsky.B que basa su
propagación en el correo electrónico y las redes de intercambio de
archivos y que en estos momentos ya ha infectado a múltiples usuarios.

Este virus se propaga a través del correo electrónico y todas las
unidades disponibles del sistema infectado (desde la C: hasta la Z:),
lo que incluye las unidades de red a las que tenga acceso. Se envía a
si mismo a las direcciones que encuentra en el sistema de la víctima y
se copia con atractivos nombres en las carpetas que contengan las
palabras "share" o "sharing" de cualquiera de las unidades, con objeto
de propiciar su distribución a través de aplicaciones P2P como KaZaA,
eMule o similares.

Netsky.B se puede presentar en múltiples formas diferentes, lo que
puede dificultar su identificación a simple vista. Para autoenviarse
emplea su propio motor SMTP, falsificando el e-mail del remitente (con
direcciones obtenidas del sistema del usuario rastreando entre archivos
de diversas extensiones, como .html, .html, .php, .eml, .msg, txt, .wab
o comprimido en un .zip). De esta forma la dirección no corresponderá
al usuario realmente infectado desde cuyo sistema se está enviando el
gusano.

Como ya dijimos ayer, la regla de oro a seguir es no abrir o ejecutar
archivos potencialmente peligrosos, sobre todo si no hemos demandado su
envío. Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir los
foros de seguridad o listas como "una-al-día", para estar al tanto de
las últimas amenazas que nos pueden afectar.

El asunto del mensaje puede ser uno de los siguientes:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you

El cuerpo del mensaje es una frase corta en inglés elegida
aleatoriamente entre más de 40 diferentes. De forma similar ocurre con
el nombre del archivo adjunto, cuya extensión puede variar entre .doc,
.htm, .rtf o .text, seguido de .com, .exe, .pif o .scr para lograr su
ejecución.

El gusano se copia a si mismo en la carpeta %WinDir% (Windows) con el
nombre de archivo "services.exe". Y se crea la siguiente clave del
registro para asegurarse su ejecución cada vez que el usuario inicie el
sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "service" = C:\WINNT\services.exe -serv

El virus elimina las siguientes claves del registro provocando entre
otros efectos la desactivación de los gusanos Mydoom.A y Mydoom.B en el
caso de encontrarse en el sistema infectado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run system.


Antonio Ropero
antonior@hispasec.com


Más información:

W32/Netsky.b@MM
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101034&cid=9647

Netsky.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=44815&sind=0

W32.Netsky.B@mm
http://www.sybari.com/alerts/alertdetail.asp?Name=W32.Netsky.B@mm

Win32.Netsky.B
http://www3.ca.com/virusinfo/virus.aspx?ID=38332

W32/Netsky-B
http://www.sophos.com/virusinfo/analyses/w32netskyb.html

I-Worm.Moodown.b
http://www.viruslist.com/eng/alert.html?id=989639

W32/Netsky.B@mm
http://www.norman.com/virus_info/netsky_b_mm.shtml

I-Worm.Moodown.b
http://www.viruslist.com/eng/alert.html?id=989639

W32.Netsky.B@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.b@mm.html

WORM_NETSKY.B
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_NETSKY.B