| W32/Netsky.Z@MM |
|
| Nombre: | W32/Netsky.Z@MM Alias: W32.Netsky.Z@mm, W32/Netsky.z@MM |
| Tipo: | Gusano |
| Tamaño: | 22,016 bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 5.6, Registro de Virus al 21/04/2004 |
Descripción
W32/Netsky.Z@MM es un gusano que se difunde a través de envio masivos de e-mails. Utiliza su propio motor SMTP para enviarse a si mismo a todas las direcciones de e-mail que encuentre en el computador atacado y en archivos que tienen las siguientes extensiones: .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .oft, .ods, .php, .pl, .ppt, .rtf, .sht, .shtm, .stm, .tbb, .txt, .uin, vbs, .wab, .wsh, .xls, .xml.
Características del mensaje de E-mail:
Asunto: [alguno de los siguientes]
Hello
Hi
Important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
Information
Archivo Adjunto: [alguno de los siguientes:]
Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip
El archivo ejecutable que se encuentra dentro del .zip puede tener los siguientes nombres:
Bill.txt[espacios en blanco].exe
Data.txt[espacios en blanco].exe
Details.txt[espacios en blanco].exe
Important.txt[espacios en blanco].exe
Informations.txt[espacios en blanco].exe
Notice.txt[espacios en blanco].exe
Part-2.txt[espacios en blanco].exe
Textfile.txt[espacios en blanco].exe
-----------------------------------
Cuando el gusano se ejecuta crea un mutex llamado "(S)(k)(y)(N)(e)(t)." el cual le permite que sólo una instancia del gusano se ejecute en memoria.
Seguidamente se copia a sí mismo como %windows%\Jammer2nd.exe
También copia un archivo .zip que contiene al gusano en:
%windows%\PK_ZIP_ALG.LOG
%windows%\PK_ZIP[número aleatorio].LOG
Además crea una entrada en el registro del sistema para poder ejecutarse en cada reinicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Jammer2nd"="%windows%\JAMMER2ND.EXE"
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS,
C:\WINNT)
Si la fecha del sistema esta entre el 2 y 5 de Mayo del 2004 el gusano
intentará realizar un ataque de Denegación de Servicio (DoS) a los siguientes
sitios web:
www.nibis.de
www.medinfo.ufl.edu
www.educa.ch
Finalmente el gusano intenta utilizar el servidor DNS por defecto del computador atacado, de esta manera intenta obtener la dirección IP del servidor de correo, en caso de fallar, este utiliza uno de los siguientes servidores DNS:
145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
Derechos reservados 1992/2004 HackSoft S.R.L. Lima-Perú