Algunas casas han alertado sobre este nuevo gusano, e indican que
existen incidencias relevantes en algunos países. Si bien en España,
según indicadores de Hispasec, los casos detectados hasta el momento
han sido mínimos, y queda muy lejos de los ratios que sitúan como
gusano más propagado a la variante Netsky.B, de similares
características.
La reacción de las diferentes casas antivirus en proporcionar la
actualización para Netsky.C a sus clientes, según el sistema de
monitorización 24hx7d del laboratorio de Hispasec, ha sido la
siguiente:
NOD32 25/02/2004 14:53:27 Win32/Netsky.C
Panda 25/02/2004 15:31:33 W32/Netsky.C.worm
Kaspersky 25/02/2004 17:14:57 I-Worm.Moodown.c
Sophos 25/02/2004 18:13:11 W32/Netsky-C
McAfee 25/02/2004 19:16:31 W32/Netsky.c@MM
Norton 25/02/2004 19:28:06 W32.Netsky.C@mm
TrendMicro 25/02/2004 19:30:29 WORM_NETSKY.C
InoculateIT 25/02/2004 20:19:25 Win32/Netsky.C.Worm
En estos momentos se está trabajando en la incorporación de más
motores antivirus al sistema de monitorización, por lo que esperamos
en breve aumentar el número de casas antivirus referenciadas en este
indicador. En todos los casos los tiempos mencionados son hora
española (GMT+1).
Respecto a las características de Netsky.C, como ya avanzamos en
el titular, es muy similar a sus predecesores, Netsky.A y Netsky.B,
este último de gran incidencia.
Diferencias con sus predecesores
Como principales diferencias, destaca que los ejecutables de Netsky.C
se han presentado de varias formas y tamaños al ser comprimidos por
diferentes utilidades, como Petite (25,353 bytes), Aspack
(28,160 bytes) y UPX (24,064 bytes). Esto puede representar ciertos
problemas a los motores que no reconozcan estos formatos de
compresión, haciendo necesario que introduzcan varias firmas para
detectar las diferentes formas en que puede presentarse.
Otra diferencia es que Netsky.C no muestra un mensaje de error cuando
es ejecutado, como si lo hacían Netsky.A y Netsky.B. Además incluye un
payload que se activa el 26 de febrero desde las 6 hasta las 9 de la
mañana, consistente en emitir sonidos de diferentes frecuencias por el
altavoz del ordenador, que vienen a recordar a los sonidos que
simulaban robots o computadores en las antiguas películas de ciencia
ficción.
Algunas casas antivirus han proporcionado un archivo de audio .WAV
para que los usuarios puedan escucharlo y reconocerlo sin riesgos, por
ejemplo:
http://vil.nai.com/images/101048.wav
http://www.pandasoftware.es/img/enc/W32NetskyC.wav
Infección del sistema
Cuando se ejecuta, realiza una copia de si mismo en la carpeta de
Windows como Winlogon.exe, e incluye la siguiente entrada en el
registro de Windows para asegurarse su ejecución en cada inicio de
sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ICQ Net» = «%Windir%\winlogon.exe -stealth»
Además borra diferentes valores en el registro de Windows, con el fin
de desactivar algunos gusanos que pudieran estar presentes en el
sistema, como Mydoom.A, Mydoom.B, Netsky.A, Netsky.b y Mimail.T, o
antivirus como Kaspersky.
Distribución por correo electrónico, unidades de disco, y redes P2P
Al igual que su predecesor Netsky.B, se trata de un gusano que se
distribuye principalmente a través del correo electrónico. También
puede infectar a otros equipos a través de las unidades de red (chequea
desde la C: hasta la Z:) y se copia en las carpetas cuyo nombre
contenga la cadena «Shar», que en muchos casos se corresponderán con
las carpetas compartidas de los clientes P2P (por ejemplo, el popular
KaZaa).
Para copiarse en las carpetas compartidas de los clientes P2P, como
suele ser habitual en este tipo de gusanos, utiliza nombres de
archivos con referencias a contenidos pornográficos, cracks,
aplicaciones pirateadas, archivos de música, documentos, etc.,
que pretenden ser atractivos para que otros usuarios de las redes
P2P lo descarguen y ejecuten, logrando su infección.
Por e-mail se puede presentar de múltiples formas diferentes, lo que
puede dificultar su identificación a simple vista, aunque la extensión
del archivo terminará en .ZIP, .COM, .EXE, .PIF o .SCR.
Para autoenviarse emplea su propio motor SMTP, falsificando el e-mail
del remitente, con direcciones del sistema del usuario que obtiene
rastreando entre archivos de diversas extensiones, como .adb, .asp,
.cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl,
.rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, y .wab.
El asunto del mensaje en el que viaja, el texto del cuerpo, o el
nombre del archivo, son muy variables, en función de unas extensas
listas que el gusano incorpora. Si bien destaca que todos los textos
son en inglés, lo que favorece a los usuarios de otras lenguas, como
el español, que por este motivo pueden ser más recelosos a la hora
de abrir los mensajes en el que viaja Netsky.C y sus otras variantes.
Prevención
Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como «una-al-día», para estar al
tanto de las últimas amenazas que nos pueden afectar.
bernardo@hispasec.com
Más información:
18/02/2004 – Nuevo gusano Netsky.B
http://www.hispasec.com/unaaldia/1942
Win32.Netsky.C@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=202
Win32.Netsky.C
http://www3.ca.com/virusinfo/virus.aspx?ID=38406
WIN32/NETSKY.C
http://www.enciclopediavirus.com/virus/vervirus.php?id=742&alerta=1
W32/Netsky.c@MM
http://vil.nai.com/vil/content/v_101048.htm
W32/Netsky.C@mm
http://www.norman.com/virus_info/w32_netsky_c_mm.shtml
Netsky.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=45084
W32.Netsky.C@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.c@mm.html
W32/Netsky-C
http://www.sophos.com/virusinfo/analyses/w32netskyc.html
W32/Netsky.c@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Netsky.c@MM
W32/Netsky.C. Se propaga por e-mail y redes P2P
http://www.vsantivirus.com/netsky-c.htm
Deja una respuesta