Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Netsky.AB@MM

Alias:
WORM_NETSKY.AB (Trend Micro), W32/Netsky.AB.worm (Panda Software), W32.Netsky.AB@mm (Symantec), W32/Netsky.ab@MM (McAfee)

Descripción:
Nueva variante que aviva la guerra entre gusanos Netsky / Bagle. Detectado en Japón y Korea se expande con rapidez por Taiwan y el resto de la red. En Europa, Francia es la mas afectada por el momento.

Se propaga vía correo gracias a su propio motor SMTP(Simple Mail Transfer Protocol) sobre direcciones recopiladas en ficheros existentes en la máquina infectada.

Las características de los mensajes enviados son variables,  así como el nombre del fichero adjunto que tendrá extensión .PIF

Detalles:
Instalación

Tras la ejecución del adjunto, permanecerá residente en memoria y dejara un copia de sí mismo en el directorio de Windows con el nombre CSRSS.EXE

Para iniciar su ejecución junto al arranque de Windows, creara la siguiente entrada de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
BagleAV = %Windows%\CSRSS.EXE

Propagación vía Correo

Se sirve de du propio motor de envio SMTP, para auto enviarse a todas las direcciones que sea capaz de localizar en ficheros situados en las unidades C: a Z:, de la máquina infectada, y que tengan alguna de las siguientes extensiones:

  • adb
  • asp
  • cfg
  • cgi
  • dbx
  • dhtm
  • doc
  • eml
  • htm
  • html
  • jsp
  • mbx
  • mdx
  • mht
  • mmf
  • msg
  • nch
  • ods
  • oft
  • php
  • pl
  • ppt
  • rtf
  • sht
  • shtm
  • stm
  • tbb
  • txt
  • uin
  • vbs
  • wab
  • wsh
  • xls
  • xml

EL gusano captura el dominio de la direccion de la bandeja interrogando al DNS para detectarlo, para lo que utiliza momentaneamente una dirección de DNS de una lista interna, como DNS local.

Los detalles de los correos enviados son los siguientes:

De: Dirección del remitente suplantada por una de las direcciones capturadas.

Asunto: Alguno de la siguiente lista:

  • Correction
  • Criminal
  • Found
  • Funny
  • Hurts
  • Letter
  • Letter
  • Money
  • More samples
  • Numbers
  • Only love?
  • Password
  • Picture
  • Pictures
  • Privacy
  • Question
  • Stolen
  • Text
  • Wow

Mensaje: Uno de los siguientes:

  • Are your numbers correct?
  • Do you have asked me?
  • Do you have more photos about you?
  • Do you have more samples?
  • Do you have no money?
  • Do you have written the letter?
  • Does it hurt you?
  • Hey, are you criminal?
  • How can I help you?
  • I've found your creditcard. Check the data!
  • I've your password. Take it easy!
  • Please do not sent me your illegal stuff again!!!
  • Please use the font arial!
  • Still?
  • The text you sent to me is not so good!
  • True love letter?
  • Why do you show your body?
  • Wow! Why are you so shy?
  • You have no chance...
  • Your pictures are good!

Adjunto: Uno de la siguiente lista:

  • abuses.pif
  • all_pictures.pif
  • corrected_doc.pif
  • document1.pif
  • hurts.pif
  • image034.pif
  • loveletter02.pif
  • my_stolen_document.pif
  • myabuselist.pif
  • passwords02.pif
  • pin_tel.pif
  • visa_data.pif
  • your_bill.pif
  • your_letter.pif
  • your_letter_03.pif
  • your_picture.pif
  • your_picture01.pif
  • your_text.pif
  • your_text01.pif

Represalias contra Antivirus

Intentará enviar copias de correos infectados a bandejas(cuentas) que contengan alguna de las siguientes cadenas:

  • abuse
  • andasoftwa
  • antivi
  • antivir
  • aspersky
  • cafee
  • f-pro
  • freeav
  • f-secur
  • icrosoft
  • iruslis
  • itdefender
  • messagelabs
  • orman
  • orton
  • skynet
  • sophos
  • ymantec

Intentará borrar la entrada de registro correspondiente al virus Bagle en su versión W :

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
SSGRATE.EXE

y la correspondiente a la versión X

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
DRVSYS.EXE

Otros detalles

Intentará además enviar una copia infectada a la dirección xdfggra@yahoo.com.

Dentro de su código puede encontrarse la siguente cadena de texto:

S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m
._-\/ Hey Bagle, feel our revenge!

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.

    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    BagleAV = %Windows%\CSRSS.EXE

    De la siguiente clave de registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados