• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / ALERTA: gusano Netsky.D, detectada gran propagación en las últimas horas

ALERTA: gusano Netsky.D, detectada gran propagación en las últimas horas

1 marzo, 2004 Por Hispasec Deja un comentario

En las últimas horas se ha detectado la aparición de esta nueva
variante del gusano Netsky, que destaca por el gran número de e-mails
infectados que están siendo registrados desde un primer momento. Según
indicadores en tiempo real de Hispasec, ha pasado a ser el gusano con
mayor ratio de propagación a nivel internacional, incluido España
entre otros muchos países. Puede ser fácilmente detectable a simple
vista, ya que se propaga a través de e-mail en un archivo adjunto
con extensión .PIF de unos 17,4KB.

Estamos viviendo en los últimos días una autentica ola de nuevas
versiones de gusanos. A las cinco nuevas variantes de Bagle
distribuidas este fin de semana, hay que sumarles hoy lunes la
aparición en auténtica tromba de la variante Netsky.D, que a juzgar
por los últimos indicadores va camino de liderar en un tiempo récord
el TOP 10 del listado de propagación de virus, puesto que hasta la
fecha ocupaba uno de sus predecesores, Netsky.B.

Todo parece indicar que la ola no cesará en las próximas horas, en el
momento de escribir esta nota ya contamos con nuevas variantes de
Netsky, y en el laboratorio de Hispasec acabamos de detectar una
nueva versión de Bagle no reconocida por los antivirus. Seguiremos
informando sobre estos nuevos especímenes en el caso de que detectemos
ratios importantes en su propagación.

Desde Hispasec recomendamos se extremen las precauciones con los
mensajes de correo electrónico que incluyan archivos adjuntos, y se
configuren las actualizaciones automáticas de las soluciones
antivirus para que se realicen en intervalos de tiempo más cortos
(no basta con actualizar una vez al día).

En relación a Netsky.D, la amenaza más activa de momento, la reacción
de las casas antivirus en proporcionar la actualización de la firma
específica para que sus clientes pudieran detectarlo, según el
sistema de monitorización 24hx7d del laboratorio de Hispasec, fue la
siguiente:

[McAfee] 25.02.2004 19:16:31 :: W32/Netsky.c@MM
[Panda] 01.03.2004 11:52:40 :: W32/Netsky.D.worm
[NOD32] 01.03.2004 12:14:05 :: Win32/Netsky.D
[Sophos] 01.03.2004 12:45:30 :: W32/Netsky-D
[Kaspersky] 01.03.2004 13:01:12 :: I-Worm.NetSky.d
[TrendMicro] 01.03.2004 13:04:26 :: WORM_NETSKY.D
[Norton] 01/03/2004 15:33:05 :: W32.Netsky.D@mm

Como en ocasiones anteriores, los tiempos mencionados son hora española (GMT+1).

Destaca que McAfee detectaba a Netsky.D antes de que apareciera,
con la misma firma que incluyó el 25 de febrero para detectar a su
predecesor Netsky.C. En segundo lugar aparece Panda que ha sido la
primera casa en incluir la firma específica para Netsky.D, mientras
que NOD32 que aparece en tercer lugar a la hora de incluir la firma,
en realidad, reconocía a éste espécimen como sospechoso también
antes de que apareciera, a través de la función de heurística
avanzada del monitor residente, que tienen los usuarios de la
versión 2.0 del motor.

En cualquier caso podemos observar la rápida reacción de todas las casas
antivirus, que en apenas unas pocas horas han desarrollado y
distribuido las actualizaciones para neutralizar Netsky.D, una muestra
más de la importancia que ha alcanzado la propagación de este gusano.

Descripción de Netsky.D

El gusano nos llega en un ejecutable adjunto comprimido con Petite y
extensión .PIF de unos 17KB (17,424 bytes), en un mensaje de correo
electrónico con las siguientes características:

Remitente: [dirección falseada]

Asunto: [Algunos de la siguiente lista:]

Re: Hello
Re: Hi
Re: Thanks!
Re: Document
Re: Message
Re: Here
Re: Details
Re: Your details
Re: Approved
Re: Your document
Re: Your text
Re: Excel file
Re: Word file
Re: My details
Re: Your music
Re: Your bill
Re: Your letter
Re: Document
Re: Your website
Re: Your product
Re: Your document
Re: Your software
Re: Your archive
Re: Your picture
Re: Here is the document

Cuerpo del mensaje: [Alguno de la siguiente lista:]

Here is the file.
Your file is attached.
Your document is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.

Archivo adjunto: [Algunos de la siguiente lista:]

yours.pif
your_text.pif
your_bill.pif
mp3music.pif
document.pif
my_details.pif
your_file.pif
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_details.pif
document_word.pif
all_document.pif
application.pif
your_picture.pif
document_excel.pif
document_4351.pif
document_full.pif
message_part2.pif
your_document.pif
message_details.pif

Cuando se ejecuta el archivo .PIF, el gusano inicia la infección del
sistema, copiándose como WINLOGON.EXE en la carpeta de Windows. A
continuación incluye la siguiente entrada en el registro de Windows
para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«ICQ Net» = %WinDir%\WINLOGON.EXE -stealth

(No confundir con el ejecutable legítimo WINLOGON.EXE que puede
encontrarse en la carpeta de sistema de Windows).

El gusano incluye su propio motor SMTP para autoenviarse a otras
direcciones, que recopila del sistema infectado buscando en todos
los archivos con extensión .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml,
.htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb, .txt, .uin,
.vbs y .wab.

Netsky.D evita enviarse a las direcciones recolectadas que incluyan
algunas de las siguientes cadenas: abuse, fbi, orton, f-pro,
aspersky, cafee, orman, itdefender, f-secur, avp, skynet, spam,
messagelabs, ymantec, antivi, icrosoft.

Adicionalmente, y como hiciera también su predecesor Netsky.C, borra
varias entradas del registro, de forma que desactiva algunas
aplicaciones de seguridad y otros gusanos en el caso de que se
encontraran instalados en el sistema. También incluye un efecto
basado en emitir sonidos con tonos semialeatorios a través del
altavoz del PC infectado. Más información y ejemplos sobre estas
características se encuentran explicadas en la descripción que
ofrecimos sobre Netsky.C: http://www.hispasec.com/unaaldia/1949

Bernardo Quintero
bernardo@hispasec.com

Más información:

Win32.Netsky.D@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=207

Win32.Netsky.D
http://www3.ca.com/virusinfo/virus.aspx?ID=38453

NetSky.D
http://www.f-secure.com/v-descs/netsky_d.shtml

Win32/Netsky.D
http://www.enciclopediavirus.com/virus/vervirus.php?id=749

I-Worm.Netsky.d
http://www.viruslist.com/eng/alert.html?id=1069526

W32/Netsky.d@MM
http://vil.nai.com/vil/content/v_101064.htm

W32/Netsky.D@mm
http://www.norman.com/virus_info/w32_netsky_d_mm.shtml

Nestky.D
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=45205

W32/Netsky-D
http://www.sophos.com/virusinfo/analyses/w32netskyd.html

W32.Netsky.D@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.d@mm.html

W32/Netsky.d@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Netsky.d@MM

WORM_NETSKY.D
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.D

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR