The Legendary Hackers - Virus Netsky.P (Peligrosidad: 4

Gusano cuya propagación se realiza mediante el envío masivo de correo electrónico a direcciones contenidas en el sistema infectado. Las características del mensaje son variables, aunque siempre en inglés. Para el envío, utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa. También puede propagarse a través de redes de intercambio de ficheros (P2P).

Solución Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración) Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado. Desde el Explorador de Windows, localice y borre los siguientes archivos: c:windowsase64.tmp c:windowsfvprotect.exe c:windowsuserconfig9x.dll c:windowszip1.tmp c:windowszip2.tmp c:windowszip3.tmp c:windowszipped.tmp Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable. Para evitar que el gusano se ejecute automáticamente cada vez que el sistema sea reiniciado, elimine el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Valor: "Norton Antivirus AV"="%Windir%FVProtect.exe" Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. -------------------------------------------------------------------------------- Adicionalmente, puede usar alguna de las siguientes herramientas gratuitas de desinfección automática de virus: Bit Defender Antinetsky (58 KB) elimina todas las variantes de Netsky. McAfee AVERT Stinger (734 KB) Future Time Srl (NOD 32) (290 KB) FxNetsky.exe (Symantec) (156 KB) Datos Técnicos Peligrosidad: 4 - Alta Difusión: Media Fecha de Alta:22-03-2004 Última Actualización:14-04-2005 Daño: Medio [Explicación de los criterios] Dispersibilidad: Alto Nombre completo: Worm.W32/Netsky.P@P2P+MM Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico. Tamaño (bytes): 29568 Alias:W32.Netsky.P@mm (Symantec), WORM_NETSKY.P (Trend Micro), W32/Netsky.P@mm (PerAntivirus), W32/Netsky.p@MM (McAfee), W32/Netsky.P.worm (Panda Software), Win32.Netsky.P (Computer Associates), NetSky.P (F-Secure), W32/Netsky-P (Sophos), Win32.Netsky.P@mm (Bit Defender), W32/Netsky.eml!dam (McAfee), W32/Netsky.p@MM!zip (McAfee), HTML_NETSKY.P (Trend Micro), W32/Netsky.p.eml!exe (McAfee), W32/NetskyP-Dam (Otros), Worm.SomeFool.P (Otros), Win32/Netsky.P (Computer Associates), W32/Netsky.p@M (McAfee), Netsky.P@mm (Symantec), I-Worm.NetSky.p (Kaspersky (viruslist.com)), W32/Netsky.p@MMi (McAfee), W32/Netsky.P@mm) (Computer Associates) Detalles Este gusano utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa. Puede obtener mayor infomación sobre esta vulnerabilidad en el siguiente enlace: http://download.nai.com/products/mcafee-avert/stinger.exe? Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones: Crea el mutex "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" para asegurarse de no ser ejecutado varias veces al mismo tiempo. Se copia a sí mismo como %Windir%FVProtect.exe. Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:Windows o C:Winnt) y se replica en esa ubicación. Deposita y ejecuta en el sistema, el fichero %Windir%userconfig9x.dll (26.624 Bytes). Crea los siguientes ficheros en ese mismo directorio %Windir%: base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes) zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes) zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes) zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes) zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes) Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Valor: "Norton Antivirus AV"="%Windir%FVProtect.exe" Elimina los valores indicados de las siguientes claves del registro de Windows: Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Valores: Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Valores: system Video Clave: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Valores: Explorer au.exe direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe Elimina las siguientes subclaves del registro de Windows: Subclaves: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerPINF HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch HKEY_CLASSES_ROOTCLSIDCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED} InProcServer32 Realiza una búsqueda en todo el disco duro del sistema infectado. Si los nombres de directorio que encuentra, contienen alguna de las siguientes cadenas de caracteres: shared files kazaa mule donkey morpheus lime bear icq shar upload http htdocs ftp download my shared folder el gusano se copia a sí mismo en esos directorios con alguno de los siguientes nombres: Kazaa Lite 4.0 new.exe Britney Spears Sexy archive.doc.exe Kazaa new.exe Britney Spears porn.jpg.exe Harry Potter all e.book.doc.exe Britney sex xxx.jpg.exe Harry Potter 1-6 book.txt.exe Britney Spears blowjob.jpg.exe Harry Potter e book.doc.exe Britney Spears cumshot.jpg.exe Harry Potter.doc.exe Britney Spears fuck.jpg.exe Harry Potter game.exe Britney Spears.jpg.exe Harry Potter 5.mpg.exe Britney Spears and Eminem porn.jpg.exe Matrix.mpg.exe Britney Spears Song text archive.doc.ex... Britney Spears full album.mp3.exe Eminem.mp3.exe Britney Spears.mp3.exe Eminem Song text archive.doc.exe Eminem Sexy archive.doc.exe Eminem full album.mp3.exe Eminem Spears porn.jpg.exe Ringtones.mp3.exe Eminem sex xxx.jpg.exe Ringtones.doc.exe Eminem blowjob.jpg.exe Altkins Diet.doc.exe Eminem Poster.jpg.exe American Idol.doc.exe Cloning.doc.exe Saddam Hussein.jpg.exe Arnold Schwarzenegger.jpg.exe Windows 2003 crack.exe Windows XP crack.exe Adobe Photoshop 10 crack.exe Microsoft WinXP Crack full.exe Teen Porn 15.jpg.pif Adobe Premiere 10.exe Adobe Photoshop 10 full.exe Best Matrix Screensaver new.scr Porno Screensaver britney.scr Dark Angels new.pif XXX hardcore pics.jpg.exe Microsoft Office 2003 Crack best.exe Serials edition.txt.exe Screensaver2.scr Full album all.mp3.pif Ahead Nero 8.exe netsky source code.scr E-Book Archive2.rtf.exe Doom 3 release 2.exe How to hack new.doc.exe Learn Programming 2004.doc.exe WinXP eBook newest.doc.exe Win Longhorn re.exe Dictionary English 2004 - France.doc.ex... RFC compilation.doc.exe 1001 Sex and more.rtf.exe 3D Studio Max 6 3dsmax.exe Keygen 4 all new.exe Windows 2000 Sourcecode.doc.exe Norton Antivirus 2005 beta.exe Gimp 1.8 Full with Key.exe Partitionsmagic 10 beta.exe Star Office 9.exe Magix Video Deluxe 5 beta.exe Clone DVD 6.exe MS Service Pack 6.exe ACDSee 10.exe Visual Studio Net Crack all.exe Cracks & Warez Archiv.exe WinAmp 13 full.exe DivX 8.0 final.exe Opera 11.exe Internet Explorer 9 setup.exe Smashing the stack full.rtf.exe Ulead Keygen 2004.exe Lightwave 9 Update.exe The Sims 4 beta.exe Recopila direcciones de correo electrónico incluidas en ficheros con las siguientes extensiones localizados en las unidades desde la C: a la Z:. .adb .asp .cgi .dbx .dhtm .doc .eml .htm .html .jsp .msg .oft .php .pl .rtf .sht .shtm .tbb .txt .uin .vbs .wab .wsh .xml Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas anteriormente. El mensaje enviado tiene las siguientes caracterísitcas: Remitente: - falsificado - Asunto: algunas posibilidades se muestran a continuación: Re: Encrypted Mail Re: Extended Mail Re: Status Re: Notify Re: SMTP Server Re: Mail Server Re: Delivery Server Re: Bad Request Re: Failure Re: Thank you for delivery Re: Test Re: Administration Re: Message Error Re: Error Re: Extended Mail System Re: Secure SMTP Message Re: Protected Mail Request Re: Protected Mail System Re: Protected Mail Delivery Re: Secure delivery Re: Delivery Protection Re: Mail Authentification Cuerpo del mensaje: algunas posibilidades se muestran a continuación: Please see the attached file for details Please read the attached file! Your document is attached. Please read the document. Your file is attached. Your document is attached. Please confirm the document. Please read the important document. See the file. Requested file. Authentication required. Your document is attached to this mail. I have attached your document. I have received your document. The corrected document is attached. Your document. Your details. Ficheros Anexos: algunas posibilidades se muestran a continuación: document05 websites03 game_xxo your_document seguido de una de las siguientes: ".txt " ".doc " seguido de una de las siguientes: .exe .pif .scr .zip Si la extensión del anexo es .exe, .scr o .pif, el anexo será una copia del gusano. En caso de que la extensión sea .zip, el anexo será un fichero comprimido que contiene un ejecutable del fichero. El nombre del fichero contenido en el .zip será uno de los siguientes: "document.txt .exe" "data.rtf .scr" "details.txt .pif" El gusano evita enviar el mensaje a direcciones de correo que contienen alguna de las siguientes cadenas de texto: "@microsof" "@antivi" "@symantec" "@spam" "@avp" "@f-secur" "@bitdefender" "@norman" "@mcafee" "@kaspersky" "@f-pro" "@norton" "@fbi" "abuse@" "@messagel" "@skynet" "@pandasof" "@freeav" "@sophos" "ntivir" "@viruslis" "noreply@" "spam@" "reports@" Nombres de Ficheros Adjuntos (virus que llegan por correo) your_document game_xxo websites03 document05 Asunto del mensaje (virus que llegan por correo) Re: Mail Authentification Re: Delivery Protection Re: Secure delivery Re: Protected Mail Delivery Re: Protected Mail System Re: Protected Mail Request Re: Secure SMTP Message Re: Extended Mail System Re: Error Re: Message Error Re: Administration Re: Test Re: Thank you for delivery Re: Failure Re: Bad Request Re: Delivery Server Re: Mail Server Re: SMTP Server Re: Notify Re: Status Re: Extended Mail Re: Encrypted Mail