Netsky.B
PeligrosidadDañoPropagación

Efectos 

Netsky.B borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Además, Netsky.B muestra en pantalla el siguiente mensaje de error cuando es ejecutado:

Metodo de Infección 

Netsky.B crea el archivo SERVICES.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.B crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  service = services.exe –serv
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  service = services.exe –serv
  Si no consigue crear la primera de estas entradas, entonces intenta crear la segunda.
  Mediante la creación de cualquiera de estas dos entradas, Netsky.B se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.B borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KasperskyAv
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  system
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  system
  Estas entradas pertenecen a diversos gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T.

Método de Propagación 

Netsky.B se propaga a través del correo electrónico, de los programas de intercambio de archivos punto a punto (P2P) y de redes de ordenadores.

1.- Propagación a través del correo electrónico.

Netsky.B realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo de características variables:
  
  Remitente: una de las siguientes opciones:
  - skynet@skynet.be
  - Netsky.B falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Para ello, utiliza alguna de las direcciones que recoge de los archivos existentes en el ordenador afectado. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: uno de los siguientes:
  fake
  hello
  information
  read it immediately
  something for you
  stolen
  unknown
  warning
  
  Contenido: una de las siguientes líneas:
  about me
  anything ok?
  do you?
  from the chatter
  greetings
  here
  here is the document.
  here it is
  here, the cheats
  here, the introduction
  here, the serials
  i found this document about you
  I have your password!
  i hope it is not true!
  i wait for a reply!
  i'm waiting ok
  information about you
  is that from you?
  is that true?
  is that your account?
  is that your name?
  kill the writer of this document!
  my hero
  read it immediately!
  read the details.
  reply
  see you
  something about you!
  something is fool
  something is going wrong
  something is going wrong!
  stuff about you?
  take it easy
  that is bad
  that's funny
  thats wrong
  what does it mean?
  why?
  yes, really?
  you are a bad writer
  you are bad you try to steal
  you earn money
  you feel the same
  your name is wrong
  
  Archivo adjunto: es variable, y habitualmente tiene doble extensión:
  Posibles nombres de archivo: ABOUTYOU, ATTACHMENT, BILL, CONCERT, CREDITCARD, DETAILS, DINNER, DISCO, DOC, DOCUMENT, FAKE, FINAL, FOUND, FRIEND, HELLO, HI, INFORMATION, JOKES, LOCATION, MAIL2, MAILS, ME, MESSAGE, MISC, MSG, NOMONEY, NOTE, OBJECT, PART2, PARTY, POSTING, PRODUCT, PS, RANKING, READ IT IMMEDIATELY, RELEASE, SHOWER, SOMETHING FOR YOU, STOLEN, STORY, STUFF, SWIMMINGPOOL, TALK, TEXTFILE, TOPSELLER, UNKNOWN, WARNING o WEBSITE.
  Primera extensión: DOC, HTM, RTF o TXT.
  Segunda extensión: COM, EXE, PIF o SCR. En algunas ocasiones, el archivo adjunto tiene únicamente alguna de las anteriores extensiones ejecutables, en lugar de una doble extensión.
  Además, el archivo adjunto también puede presentarse comprimido en formato ZIP.
  
  Los siguientes son sólo algunos ejemplos de posibles archivos adjuntos: ABOUTYOU.DOC.EXE, DOCUMENT.RTF.COM, WEBSITE.SCR, STUFF.ZIP, etc.
  
  Además, en un intento de engañar al usuario, estos archivos suelen presentar el mismo icono que un documento de Word:
  
• El ordenador queda afectado cuando se ejecuta el archivo adjunto.

• Netsky.B busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, TBB, TXT, UIN, VBS y WAB.
• Netsky.B se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP. Obtiene el servidor SMTP del receptor empleando la dirección IP 217.5.100.1 para realizar consultas DNS al dominio de correo.

2.- Propagación a través de programas P2P.

Netsky.B realiza el siguiente proceso:

• Crea copias de sí mismo en directorios que contengan las cadenas de texto share o sharing. Busca tales directorios en unidades desde la C: hasta la Z:.
  De este modo, pretende realizar copias de sí mismo en los directorios compartidos de programas P2P.
• Las copias de Netsky.B tienen los siguientes nombres:
  angels.pif
  cool screen saver.scr
  dictionary.doc.exe
  dolly_buster.jpg.pif
  doom2.doc.pif
  e.book.doc.exe
  e-book.archive.doc.exe
  eminem - lick my pussy.mp3.pif
  hardcore porn.jpg.exe
  how to hack.doc.exe
  matrix.scr
  max payne 2.crack.exe
  nero.7.exe
  office_crack.exe
  photoshop 9 crack.exe
  porno.scr
  programming basics.doc.exe
  rfc compilation.doc.exe
  serial.txt.exe
  sex sex sex sex.doc.exe
  strippoker.exe
  virii.scr
  win longhorn.doc.exe
  winxp_crack.exe
• Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Netsky.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Netsky.B.

3.- Propagación a través de redes de ordenadores.

Netsky.B intenta realizar copias de sí mismo en todas las unidades del ordenador, incluyendo las mapeadas. Comienza por la unidad C:, pero no realiza copias en las unidades correspondientes a CD-ROMs.

Otros Detalles  

Netsky.B está escrito en el lenguaje de programación Visual C++ v5.0. El gusano tiene un tamaño de 22016 Bytes cuando está comprimido mediante UPX, y de 41984 Bytes una vez es descomprimido.

El gusano contiene la siguiente cadena, aunque no es mostrada en ningún momento:

#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

(not netsky-skynet!)