En las últimas horas se ha detectado la aparición de esta nueva
variante del gusano Netsky, que destaca por el gran número de e-mails
infectados que están siendo registrados desde un primer momento. Según
indicadores en tiempo real de Hispasec, ha pasado a ser el gusano con
mayor ratio de propagación a nivel internacional, incluido España
entre otros muchos países. Puede ser fácilmente detectable a simple
vista, ya que se propaga a través de e-mail en un archivo adjunto
con extensión .PIF de unos 17,4KB.
Estamos viviendo en los últimos días una autentica ola de nuevas
versiones de gusanos. A las cinco nuevas variantes de Bagle
distribuidas este fin de semana, hay que sumarles hoy lunes la
aparición en auténtica tromba de la variante Netsky.D, que a juzgar
por los últimos indicadores va camino de liderar en un tiempo récord
el TOP 10 del listado de propagación de virus, puesto que hasta la
fecha ocupaba uno de sus predecesores, Netsky.B.
Todo parece indicar que la ola no cesará en las próximas horas, en el
momento de escribir esta nota ya contamos con nuevas variantes de
Netsky, y en el laboratorio de Hispasec acabamos de detectar una
nueva versión de Bagle no reconocida por los antivirus. Seguiremos
informando sobre estos nuevos especímenes en el caso de que detectemos
ratios importantes en su propagación.
Desde Hispasec recomendamos se extremen las precauciones con los
mensajes de correo electrónico que incluyan archivos adjuntos, y se
configuren las actualizaciones automáticas de las soluciones
antivirus para que se realicen en intervalos de tiempo más cortos
(no basta con actualizar una vez al día).
En relación a Netsky.D, la amenaza más activa de momento, la reacción
de las casas antivirus en proporcionar la actualización de la firma
específica para que sus clientes pudieran detectarlo, según el
sistema de monitorización 24hx7d del laboratorio de Hispasec, fue la
siguiente:
[McAfee] 25.02.2004 19:16:31 :: W32/Netsky.c@MM
[Panda] 01.03.2004 11:52:40 :: W32/Netsky.D.worm
[NOD32] 01.03.2004 12:14:05 :: Win32/Netsky.D
[Sophos] 01.03.2004 12:45:30 :: W32/Netsky-D
[Kaspersky] 01.03.2004 13:01:12 :: I-Worm.NetSky.d
[TrendMicro] 01.03.2004 13:04:26 :: WORM_NETSKY.D
[Norton] 01/03/2004 15:33:05 :: W32.Netsky.D@mm
Como en ocasiones anteriores, los tiempos mencionados son hora española (GMT+1).
Destaca que McAfee detectaba a Netsky.D antes de que apareciera,
con la misma firma que incluyó el 25 de febrero para detectar a su
predecesor Netsky.C. En segundo lugar aparece Panda que ha sido la
primera casa en incluir la firma específica para Netsky.D, mientras
que NOD32 que aparece en tercer lugar a la hora de incluir la firma,
en realidad, reconocía a éste espécimen como sospechoso también
antes de que apareciera, a través de la función de heurística
avanzada del monitor residente, que tienen los usuarios de la
versión 2.0 del motor.
En cualquier caso podemos observar la rápida reacción de todas las casas
antivirus, que en apenas unas pocas horas han desarrollado y
distribuido las actualizaciones para neutralizar Netsky.D, una muestra
más de la importancia que ha alcanzado la propagación de este gusano.
Descripción de Netsky.D
El gusano nos llega en un ejecutable adjunto comprimido con Petite y
extensión .PIF de unos 17KB (17,424 bytes), en un mensaje de correo
electrónico con las siguientes características:
Remitente: [dirección falseada]
Asunto: [Algunos de la siguiente lista:]
Re: Hello
Re: Hi
Re: Thanks!
Re: Document
Re: Message
Re: Here
Re: Details
Re: Your details
Re: Approved
Re: Your document
Re: Your text
Re: Excel file
Re: Word file
Re: My details
Re: Your music
Re: Your bill
Re: Your letter
Re: Document
Re: Your website
Re: Your product
Re: Your document
Re: Your software
Re: Your archive
Re: Your picture
Re: Here is the document
Cuerpo del mensaje: [Alguno de la siguiente lista:]
Here is the file.
Your file is attached.
Your document is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Archivo adjunto: [Algunos de la siguiente lista:]
yours.pif
your_text.pif
your_bill.pif
mp3music.pif
document.pif
my_details.pif
your_file.pif
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_details.pif
document_word.pif
all_document.pif
application.pif
your_picture.pif
document_excel.pif
document_4351.pif
document_full.pif
message_part2.pif
your_document.pif
message_details.pif
Cuando se ejecuta el archivo .PIF, el gusano inicia la infección del
sistema, copiándose como WINLOGON.EXE en la carpeta de Windows. A
continuación incluye la siguiente entrada en el registro de Windows
para asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«ICQ Net» = %WinDir%\WINLOGON.EXE -stealth
(No confundir con el ejecutable legítimo WINLOGON.EXE que puede
encontrarse en la carpeta de sistema de Windows).
El gusano incluye su propio motor SMTP para autoenviarse a otras
direcciones, que recopila del sistema infectado buscando en todos
los archivos con extensión .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml,
.htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb, .txt, .uin,
.vbs y .wab.
Netsky.D evita enviarse a las direcciones recolectadas que incluyan
algunas de las siguientes cadenas: abuse, fbi, orton, f-pro,
aspersky, cafee, orman, itdefender, f-secur, avp, skynet, spam,
messagelabs, ymantec, antivi, icrosoft.
Adicionalmente, y como hiciera también su predecesor Netsky.C, borra
varias entradas del registro, de forma que desactiva algunas
aplicaciones de seguridad y otros gusanos en el caso de que se
encontraran instalados en el sistema. También incluye un efecto
basado en emitir sonidos con tonos semialeatorios a través del
altavoz del PC infectado. Más información y ejemplos sobre estas
características se encuentran explicadas en la descripción que
ofrecimos sobre Netsky.C: http://www.hispasec.com/unaaldia/1949
bernardo@hispasec.com
Más información:
Win32.Netsky.D@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=207
Win32.Netsky.D
http://www3.ca.com/virusinfo/virus.aspx?ID=38453
NetSky.D
http://www.f-secure.com/v-descs/netsky_d.shtml
Win32/Netsky.D
http://www.enciclopediavirus.com/virus/vervirus.php?id=749
I-Worm.Netsky.d
http://www.viruslist.com/eng/alert.html?id=1069526
W32/Netsky.d@MM
http://vil.nai.com/vil/content/v_101064.htm
W32/Netsky.D@mm
http://www.norman.com/virus_info/w32_netsky_d_mm.shtml
Nestky.D
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=45205
W32/Netsky-D
http://www.sophos.com/virusinfo/analyses/w32netskyd.html
W32.Netsky.D@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.d@mm.html
W32/Netsky.d@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Netsky.d@MM
WORM_NETSKY.D
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.D
Deja una respuesta