Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Netsky.V. Puede descargar y ejecutar archivos
 
VSantivirus No. 1372 Año 8, jueves 8 de abril de 2004

 W32/Netsky.V. Puede descargar y ejecutar archivos
http://www.vsantivirus.com/netsky-v.htm

Nombre: W32/Netsky.V
Tipo: Gusano de Internet
Alias: Netsky.V, I-Worm.NetSky.v, Win32/Netsky.U, W32/Netsky-U, W32.Netsky.U@mm, W32/Netsky.u@MM, WORM_NETSKY.U, Win32/Netsky.U.Worm, W32/Netsky.U@mm, W32/Netsky.u@MM, Worm/Netsky.#1, Worm.SomeFool.U
Fecha: 7/abr/04
Plataforma: Windows 32-bit
Tamaño: 18,432 bytes (UPX)
Puerto: TCP/6789

Variante del gusano Netsky, basada en las versiones "T" y "U", y reportada el 7 de abril de 2004.

Algunos fabricantes reconocen esta versión como "Netsky.U".

Se propaga por correo electrónico con numerosos asuntos y textos. El adjunto es un archivo con extensión .PIF.

No se propaga por redes P2P, ni intenta desinstalar a ningún otro gusano.

Posee un componente troyano de acceso remoto por puerta trasera (backdoor), que permite a un atacante descargar y ejecutar un archivo en la máquina infectada.

Cuando se ejecuta por primera vez, el gusano crea los siguientes archivos en el directorio de Windows:

c:\windows\symav.exe
c:\windows\fuck_you_bagle.txt

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

El gusano crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SymAV = c:\windows\symav.exe

El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml

Si la fecha actual es 14, 15, o 16 de abril de 2004, el gusano no se propaga. En cualquier otra fecha, utiliza su propio motor SMTP para enviarse a si mismo, enviando mensajes con las siguientes características, a las direcciones obtenidas antes:

De: [remitente falso]

Cualquier dirección de las obtenidas por el gusano en la máquina infectada. En ocasiones puede usar la siguiente:

hanta@chiva.net

Asunto: [uno de los siguientes]

Again
Hello
Hey
Hi
It's me
Re: Hello
Re: Hi
Reply

Texto del mensaje: [uno de los siguientes]

Abou you?
Are you naked?
Change your password! I have stolen some text, excuse me!
Check your document, errors are there!
Could I have more texts about you?
Dictionary attacks are good. Your password not!
Do not distribute your naked photos!
Do not use personal information for your password!
Do you have a digicam to make your private photos?
Do you have more of that?
Eat my shit! Your photo is bad.
Go to hell an burn with your bad document!
Hello, here.
Here is a sample of your private documents I have stolen!
Hey ya, nice document. Do you have more?
Hey, easy passwords!
Hey, have you ever seen your photo?
Hey, naked one!
Hey, private or private..naked?
I believe from the document you are a child!
I do not accept documents from bad guys!
I do not want your document!
I don't want to see your photo!
I have sent your private photo to the police.
I needed only 2 hours to get your password.
I noticed your password for administrative purpuses.
I used the brute-force method to get your password..
I 've got your password! take it easy...
I will send your list to the police!!!!
It's the truth, your document not!!!
Jooooooooo.... document? Yours????? Wehaaa!
More naked...your body is sexy!
More private photos of you? no!
Naked, you?
Need a better password? my advice....
Needed? No, here I give it back!
Nice, nice, more and more? do you?
Not with me!
Oh! Excuse me, your password is too easy!!!
Oh, I got it!
Oh... your password!
Oh.....puh, your story is very strong!
One, two three, more, I have many questions to you document!
Pah!...take your private photo, naked and so, and go away.
Passwordlist? yours?
Please, please, Give me another sexy document about you!
Private photos...mmmhh. I like it. Post me more please!
Sexy pic abou you?
Shit... your photo! naked?
Short and good, your document!
Should I believe it? No, however, your story is bad.
Take it easy... Your password is too short.
Thus is enough. Stop sending your shitty documents!!!
To less characters! Take it easy...
Uhaaa! naked... are you cranky?
What is when I show your private illegal photo the police?
Yet another password! Need a better one?
You? Very funny! More available?
Your are naked? Tell me more...please!
Your password on a website?
Your privacy! lol, youre not protected!
Your pwd is critical, too short, to low!
Yours is very nice!

Datos adjuntos: [uno de los siguientes]

about_you.pif
abusedocument.pif
abuses.pif
alldoc.pif
anotherdocument.pif
approvdoc.pif
correct_pass.pif
cracked_password.pif
detailed.pif
details.pif
doc.pif
doc_ed.pif
doc04.pif
document.pif
document_part.pif
document3.pif
easypassword.pif
founddocument.pif
illegaldocument.pif
img05.pif
letter.pif
listed.pif
mail.pif
morepasswords.pif
morestory.pif
mydocument.pif
not_permitted.pif
onedocument.pif
pass01.pif
password.pif
password02.pif
passwords.pif
photo03.pif
pic04.pif
posteddocument.pif
private.pif
private_photo.pif
private_pic.pif
pwd.pif
pwd_list.pif
pwds04.pif
sexydocument.pif
shortdoc.pif
story.pif
trieddocument.pif
xxx_yours_naked.pif
yetanotherdocument.pif
your_bad_photo.pif
your_doc04.pif
your_password.pif
your_photo.pif
your_private_document.pif
your_pwd.pif
yourdoc.pif
yourdocument.pif
yourimage.pif
yournakedpic.pif
yourpassword.pif
yourphoto.pif
yourpic.pif
yours.pif
yours_funny.pif
yours_naked.pif
yours_naked_img.pif
yoursnaked.pif
yourspwd.pif

En un hilo de ejecución independiente, el gusano examina la fecha y hora actual del sistema. Cómo ya vimos, entre los días 14 y 16 de abril de 2004 no enviará mensajes infectados.

Entre los días 14 y 23 de abril de 2004, intentará ataques de denegación de servicio a los siguientes sitios:

www.cracks.am
www.emule.de
www.freemule.net
www.kazaa.com
www.keygen.us

Durante los ataques, en cada máquina infectada el gusano ejecuta múltiples hilos de ejecución, con solicitudes al puerto TCP/80 de dichos sitios.

Una vez activado, el componente backdoor del gusano, queda a la escucha por el puerto TCP/6789, pudiendo recibir comandos de un usuario remoto. El atacante también puede enviar un archivo, y luego ejecutarlo.

Crea el siguiente mutex para no ejecutarse más de una vez en memoria:

SyncMutex_USUkUyUnUeUtUU

Debido a errores en su código, esta versión puede hacer que en algunos casos, el sistema se cuelgue o se vuelva inestable.


Reparación manual

Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\symav.exe
c:\windows\fuck_you_bagle.txt

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SymAV

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

09/07/04 - 14:21 -0300 (Alias: Worm.SomeFool.U)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS