Gusano cuya propagación se realiza mediante el envío masivo de correo electrónico a direcciones contenidas en el sistema infectado. Las características del mensaje son variables, aunque siempre en inglés.
Para el envío, utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.
También puede propagarse a través de redes de intercambio de ficheros (P2P).
Solución
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Desde el Explorador de Windows, localice y borre los siguientes archivos:
- c:\windows\base64.tmp
- c:\windows\fvprotect.exe
- c:\windows\userconfig9x.dll
- c:\windows\zip1.tmp
- c:\windows\zip2.tmp
- c:\windows\zip3.tmp
- c:\windows\zipped.tmp
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. - En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano se ejecute automáticamente cada vez que el sistema sea reiniciado, elimine el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe" - Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Adicionalmente, puede usar alguna de las siguientes herramientas gratuitas de desinfección automática de virus:
- Bit Defender Antinetsky (58 KB) elimina todas las variantes de Netsky.
- McAfee AVERT Stinger (734 KB)
- Future Time Srl (NOD 32) (290 KB)
- FxNetsky.exe (Symantec) (156 KB)
Nombre completo: Worm.W32/Netsky.P@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 29568 Alias:W32.Netsky.P@mm (Symantec), WORM_NETSKY.P (Trend Micro), W32/Netsky.P@mm (PerAntivirus), W32/Netsky.p@MM (McAfee), W32/Netsky.P.worm (Panda Software), Win32.Netsky.P (Computer Associates), NetSky.P (F-Secure), W32/Netsky-P (Sophos), Win32.Netsky.P@mm (Bit Defender), W32/Netsky.eml!dam (McAfee), W32/Netsky.p@MM!zip (McAfee), HTML_NETSKY.P (Trend Micro), W32/Netsky.p.eml!exe (McAfee), W32/NetskyP-Dam (Otros), Worm.SomeFool.P (ClamAV), Win32/Netsky.P (Computer Associates), W32/Netsky.p@M (McAfee), Netsky.P@mm (Symantec), I-Worm.NetSky.p (Kaspersky (viruslist.com)), W32/Netsky.p@MMi (McAfee), W32/Netsky.P@mm) (Computer Associates), Worm/Netsky.HB (AVIRA), Win32:Netsky-AF (Otros), Win32.Netsky.p (E-safe Aladdin), Email-Worm.Win32.NetSky.q (F-Secure), Netsky.P@mm (Norman), Win32/Netsky.Q (ESET (NOD32)), Win32.HLLM.Netsky.35328 (Doctor Web)
Detalles
Este gusano utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.
Puede obtener mayor infomación sobre esta vulnerabilidad en el siguiente enlace:
http://download.nai.com/products/mcafee-avert/stinger.exe?
Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:
- Crea el mutex "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" para asegurarse de no ser ejecutado varias veces al mismo tiempo.
- Se copia a sí mismo como %Windir%\FVProtect.exe.
Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación. - Deposita y ejecuta en el sistema, el fichero %Windir%\userconfig9x.dll
(26.624 Bytes). - Crea los siguientes ficheros en ese mismo directorio %Windir%:
- base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
- zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
- zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
- zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
- zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)
- Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe" - Elimina los valores indicados de las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores: Explorer
system.
msgsvr32
winupd.exe
direct.exe
jijbl
service
Sentry
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Valores: system
Video
Clave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores: Explorer
au.exe
direct.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
winupd.exe - Elimina las siguientes subclaves del registro de Windows:
Subclaves: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32 - Realiza una búsqueda en todo el disco duro del sistema infectado.
Si los nombres de directorio que encuentra, contienen alguna de las siguientes cadenas de caracteres:- shared files
- kazaa
- mule
- donkey
- morpheus
- lime
- bear
- icq
- shar
- upload
- http
- htdocs
- ftp
- download
- my shared folder
el gusano se copia a sí mismo en esos directorios con alguno de los siguientes nombres:- Kazaa Lite 4.0 new.exe
- Britney Spears Sexy archive.doc.exe
- Kazaa new.exe
- Britney Spears porn.jpg.exe
- Harry Potter all e.book.doc.exe
- Britney sex xxx.jpg.exe
- Harry Potter 1-6 book.txt.exe
- Britney Spears blowjob.jpg.exe
- Harry Potter e book.doc.exe
- Britney Spears cumshot.jpg.exe
- Harry Potter.doc.exe
- Britney Spears fuck.jpg.exe
- Harry Potter game.exe
- Britney Spears.jpg.exe
- Harry Potter 5.mpg.exe
- Britney Spears and Eminem porn.jpg.exe
- Matrix.mpg.exe
- Britney Spears Song text archive.doc.ex...
- Britney Spears full album.mp3.exe
- Eminem.mp3.exe
- Britney Spears.mp3.exe
- Eminem Song text archive.doc.exe
- Eminem Sexy archive.doc.exe
- Eminem full album.mp3.exe
- Eminem Spears porn.jpg.exe
- Ringtones.mp3.exe
- Eminem sex xxx.jpg.exe
- Ringtones.doc.exe
- Eminem blowjob.jpg.exe
- Altkins Diet.doc.exe
- Eminem Poster.jpg.exe
- American Idol.doc.exe
- Cloning.doc.exe
- Saddam Hussein.jpg.exe
- Arnold Schwarzenegger.jpg.exe
- Windows 2003 crack.exe
- Windows XP crack.exe
- Adobe Photoshop 10 crack.exe
- Microsoft WinXP Crack full.exe
- Teen Porn 15.jpg.pif
- Adobe Premiere 10.exe
- Adobe Photoshop 10 full.exe
- Best Matrix Screensaver new.scr
- Porno Screensaver britney.scr
- Dark Angels new.pif
- XXX hardcore pics.jpg.exe
- Microsoft Office 2003 Crack best.exe
- Serials edition.txt.exe
- Screensaver2.scr
- Full album all.mp3.pif
- Ahead Nero 8.exe
- netsky source code.scr
- E-Book Archive2.rtf.exe
- Doom 3 release 2.exe
- How to hack new.doc.exe
- Learn Programming 2004.doc.exe
- WinXP eBook newest.doc.exe
- Win Longhorn re.exe
- Dictionary English 2004 - France.doc.ex...
- RFC compilation.doc.exe
- 1001 Sex and more.rtf.exe
- 3D Studio Max 6 3dsmax.exe
- Keygen 4 all new.exe
- Windows 2000 Sourcecode.doc.exe
- Norton Antivirus 2005 beta.exe
- Gimp 1.8 Full with Key.exe
- Partitionsmagic 10 beta.exe
- Star Office 9.exe
- Magix Video Deluxe 5 beta.exe
- Clone DVD 6.exe
- MS Service Pack 6.exe
- ACDSee 10.exe
- Visual Studio Net Crack all.exe
- Cracks & Warez Archiv.exe
- WinAmp 13 full.exe
- DivX 8.0 final.exe
- Opera 11.exe
- Internet Explorer 9 setup.exe
- Smashing the stack full.rtf.exe
- Ulead Keygen 2004.exe
- Lightwave 9 Update.exe
- The Sims 4 beta.exe
- Recopila direcciones de correo electrónico incluidas en ficheros con las siguientes extensiones localizados en las unidades desde la C: a la Z:.
- .adb
- .asp
- .cgi
- .dbx
- .dhtm
- .doc
- .eml
- .htm
- .html
- .jsp
- .msg
- .oft
- .php
- .pl
- .rtf
- .sht
- .shtm
- .tbb
- .txt
- .uin
- .vbs
- .wab
- .wsh
- .xml
- Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas anteriormente.
El mensaje enviado tiene las siguientes caracterísitcas:
Remitente: - falsificado -
Asunto: algunas posibilidades se muestran a continuación:- Re: Encrypted Mail
- Re: Extended Mail
- Re: Status
- Re: Notify
- Re: SMTP Server
- Re: Mail Server
- Re: Delivery Server
- Re: Bad Request
- Re: Failure
- Re: Thank you for delivery
- Re: Test
- Re: Administration
- Re: Message Error
- Re: Error
- Re: Extended Mail System
- Re: Secure SMTP Message
- Re: Protected Mail Request
- Re: Protected Mail System
- Re: Protected Mail Delivery
- Re: Secure delivery
- Re: Delivery Protection
- Re: Mail Authentification
Cuerpo del mensaje: algunas posibilidades se muestran a continuación:- Please see the attached file for details
- Please read the attached file!
- Your document is attached.
- Please read the document.
- Your file is attached.
- Your document is attached.
- Please confirm the document.
- Please read the important document.
- See the file.
- Requested file.
- Authentication required.
- Your document is attached to this mail.
- I have attached your document.
- I have received your document. The corrected document is attached.
- Your document.
- Your details.
Ficheros Anexos: algunas posibilidades se muestran a continuación:- document05
- websites03
- game_xxo
- your_document
seguido de una de las siguientes:- ".txt "
- ".doc "
seguido de una de las siguientes:- .exe
- .pif
- .scr
- .zip
Si la extensión del anexo es .exe, .scr o .pif, el anexo será una copia del gusano.
En caso de que la extensión sea .zip, el anexo será un fichero comprimido que contiene un ejecutable del fichero. El nombre del fichero contenido en el .zip será uno de los siguientes:- "document.txt .exe"
- "data.rtf .scr"
- "details.txt .pif"
- El gusano evita enviar el mensaje a direcciones de correo que contienen alguna de las siguientes cadenas de texto:
- "@microsof"
- "@antivi"
- "@symantec"
- "@spam"
- "@avp"
- "@f-secur"
- "@bitdefender"
- "@norman"
- "@mcafee"
- "@kaspersky"
- "@f-pro"
- "@norton"
- "@fbi"
- "abuse@"
- "@messagel"
- "@skynet"
- "@pandasof"
- "@freeav"
- "@sophos"
- "ntivir"
- "@viruslis"
- "noreply@"
- "spam@"
- "reports@"
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* your_document
* game_xxo
* websites03
* document05
Asunto del mensaje (virus que llegan por correo)
* Re: Mail Authentification
* Re: Delivery Protection
* Re: Secure delivery
* Re: Protected Mail Delivery
* Re: Protected Mail System
* Re: Protected Mail Request
* Re: Secure SMTP Message
* Re: Extended Mail System
* Re: Error
* Re: Message Error
* Re: Administration
* Re: Test
* Re: Thank you for delivery
* Re: Failure
* Re: Bad Request
* Re: Delivery Server
* Re: Mail Server
* Re: SMTP Server
* Re: Notify
* Re: Status
* Re: Extended Mail
* Re: Encrypted Mail
Más información acerca de este virus en:
* Symantec
* Trend Micro
* PerAntivirus
* McAfee
* Panda Software
* Computer Associates
* F-Secure
* Sophos
* Enciclopedia Virus
* Bit Defender
* AVIRA
* Doctor Web
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?