El listado de los virus más propagados por correo electrónico está
encabezado por las múltiples variantes existentes del gusano Netsky.
A las versiones B, C, D y P, de las que ya informamos en su día, hay
que destacar la proliferación de la nueva variante Netsky.Q.
Aunque en el momento de escribir estas líneas ya contamos con un
nuevo Netsky.T, ha sido la variante Q la última en sumarse al TOP 5
de los virus más propagados, lista que monopolizada en todos sus
puestos por las distintas versiones del gusano Netsky.
La reacción de las casas antivirus en proporcionar la actualización de
la firma específica para que sus clientes pudieran detectar a
Netsky.Q, según el sistema de monitorización 24hx7d del laboratorio de
Hispasec, fue la siguiente:
[Sophos] 29.03.2003 07:54:23 :: W32/Netsky-Q
[Nod32] 29.03.2004 08:54:14 :: Win32/Netsky.R
[Kaspersky] 29.03.2004 08:54:19 :: I-Worm.NetSky.r
[Panda] 29.03.2004 10:36:45 :: W32/Netsky.Q.worm
[TrendMicro] 29.03.2004 10:39:41 :: WORM_NETSKY.Q
[Symantec] 29.03.2004 12:12:19 :: W32.Netsky.Q@mm
[McAfee] 29.03.2004 13:05:17 :: W32/Netsky.q@MM
[InoculateIT] 29.03.2004 22:06:16 :: Win32/Netsky.Q.Worm
Como en ocasiones anteriores, los tiempos mencionados son hora
española (GMT+1).
De características similares al resto de variantes de Netsky, ya
analizadas al detalle con anterioridad, Netsky.Q puede ser fácilmente
detectable cuando se distribuye por correo electrónico. Además del
archivo adjunto, con extensión .EXE, .PIF. SRC o .ZIP, el asunto del
e-mail infectado lo compone con un texto sacado de la siguiente lista:
Deliver Mail
Delivered Message
Delivery
Delivery Bot
Delivery Error
Delivery Failed
Delivery Failure
Error
Failed
Failure
Mail Delivery failure
Mail Delivery System
Mail System
Server Error
Status
Unknown Exception
Al que le suma el e-mail del destinatario entre paréntesis. De forma
que un asunto podría ser, por ejemplo:
«Error (destinatario@servidor.dom)»
Como efecto diferenciador, Netsky.Q intentará un ataque DoS
(denegación de servicio) del 8 al 11 de abril, desde los equipos
infectados, contra los siguientes servidores webs:
http://www.edonkey2000.com
http://www.kazaa.com
http://www.emule-project.net
http://www.cracks.am
http://www.cracks.st
El ataque DoS se inicia con 80 hilos, cada uno de los cuales realiza
una petición GET, de forma repetitiva, a algunos de los webs de la
lista anterior.
Por último, la variante Netsky.Q incluye en su código un mensaje
cifrado de los creadores que no es visualizado por el gusano:
«We are the only SkyNet, we don’t have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren’t children. Due to this, many reports are wrong.
We don’t use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don’t prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope…
– Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -«
Bernardo@hispasec.com
Más información:
24/03/2004 – Gusano Netsky.P el más propagado en las últimas 24 horas
http://www.hispasec.com/unaaldia/1977
01/03/2004 – ALERTA: gusano Netsky.D, detectada gran propagación en las últimas horas
http://www.hispasec.com/unaaldia/1954
25/02/2004 – Gusano Netsky.C, más de lo mismo
http://www.hispasec.com/unaaldia/1949
18/02/2004 – Nuevo gusano Netsky.B
http://www.hispasec.com/unaaldia/1942
