Worm.W32/Netsky.R@MM

Alias:
W32/Netsky.R.worm (Panda Software), W32/Netsky.r@mm (Panda Software), WORM_NETSKY.R (Trend Micro), W32.Netsky.R@mm (Symantec), Win32.Netsky.R (Computer Associates), W32/Netsky-R (Sophos), W32/Netsky.r@MM (McAfee)

Descripción:
Intentará realizar ataques de Denegación de Servicio(Dos) contra diversas páginas web entre los días 12 y 16 de abril. Borra las entradas en el registro pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle, Sdbot, Gaobot y Spybot.

Se propaga a través del correo electrónico en un mensaje escrito en inglés de características variables, pero que siempre incluye el texto Re: Document en su asunto.

Detalles:
Metodo de Infección

Crea los siguientes ficheros en el directorio de Windows:

• PANDAAVENGINE.EXE. Es una copia del gusano que descarga el resto de ficheros. Intenta hacerse pasar por un fichero perteneciente a Panda Antivirus.
• TEMP09094283.DLL. DLL (Librería de Enlace Dinámico), que proporciona las funcionalidades del gusano.
• UINMZERTINMDS.OPM. Fichero en formato MIME contiene una copia del gusano.

Crea la siguiente entrada en el registro para iniciarse junto al arranque de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
PandaAVEngine = %windir%\ PandaAVEngine.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Explorer

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Explorer

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
System

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
System

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
msgsvr32

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
au.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
winupd.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
direct.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
direct.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Taskmon

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Taskmon

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
DELETE ME

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
d3dupdate.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
gouday.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
rate.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
OLE

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
jijbl

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Video

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
service

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Sentry

HKEY_CURRENT_USER\ Windows Services Host
HKEY_LOCAL_MACHINE\ Windows Services Host
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
sysmon.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
srate.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ssate.exe

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
winupd.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Video

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
PINF

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ WksPatch
HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft IE Execute shell

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Winsock2 driver

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Winsock2 driver

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ICM version

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
yeahdude

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
yeahdude

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
yeahdude

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft System Checkup

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft System Checkup

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Microsoft System Checkup

Método de Propagación

Se propaga a través del correo electrónico mediante un mensaje de correo escrito en inglés de características variables:

Asunto: es variable:

Re: Document%número%

donde %número% es un número aleatorio.

Excuse me,
the important document is attached,
Yours sincerely

DOCUMENT%número%.PIF

Busca direcciones de correo en ficheros que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.

Se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP, exceptuando aquellas que contienen alguna de las siguientes cadenas de texto: @antivi, @avp, @bitdefender, @fbi, @f-pro, @freeav, @f-secur, @kaspersky, @mcafee, @messagel, @microsof, @norman, @norton, @pandasof, @skynet, @sophos, @spam, @symantec, @viruslis, abuse@, noreply@, ntivir, reports@ y spam@.

Otros Detalles

Intenta realizar ataques DoS (Denegación de Servicio) contra las siguientes páginas web, entre los días 12 al 16 de abril, ambos inclusive:

• www.emule.de
• www.cracks.am
• www.emule-project.net
• www.kazaa.com
• www.keygen.us

Borra las entradas del Registro de Windows pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle, Sdbot, Gaobot y Spybot.

Está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 20624 Bytes y se encuentra comprimido mediante FSG.

El fichero TEMP09094283.DLL crea un mutex para asegurarse de que únicamente una copia del gusano es ejecutada simultáneamente.

Contiene el siguiente texto en su código, aunque no es mostrado en ningún momento:

Yes, true, you have understand it.
Bagle is a shitty guy, he opens a backdoor,
and he makes a lot of money. Netsky not, Netsky
is Skynet, a good software, Good guys behind it.
Believe me, or not.
We will release thousands of our
Skynet versions, as long as bagle is there and the
people...

Thanks to Bruce Schneider.
And to all people in cz and russia.

Best regards - We are the only SkyNet.

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
   
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine las siguientes entradas del registro:

   HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
   PandaAVEngine = %windir%\ PandaAVEngine.exe
   
   

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

• Symantec
• McAfee
• Sophos

Fuente: red.es