Netsky.P
PeligrosidadDañoPropagación

Efectos 

Netsky.P borra las entradas del Registro de Windows pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle.

Metodo de Infección 

Netsky.P crea los siguientes ficheros en el directorio de Windows:

• FVPROTECT.EXE. Este fichero es una copia del gusano.
• USERCONFIG9X.DLL. Este fichero es una DLL (Librería de Enlace Dinámico), que proporciona las funcionalidades del gusano.
• ZIP1.TMP, ZIP2.TMP y ZIP3.TMP. Estos ficheros en formato MIME contienen una copia del gusano, comprimido en formato ZIP.
• ZIPPED.TMP. Este fichero comprimido en formato ZIP contiene una copia del gusano.
• BASE64.TMP. Este fichero en formato MIME contiene una copia del gusano.

Netsky.P crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Norton Antivirus AV = %windir%\ FVProtect.exe
  donde %windir% es el directorio de Windows.
  Mediante esta entrada, Netsky.P se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.P borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Taskmon
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Explorer
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  msgsvr32
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  DELETE ME
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  d3dupdate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  au.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  winupd.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  winupd.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  direct.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  direct.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  jijbl
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Video
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  Video
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  gouday.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  rate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  sysmon.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  srate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ssate.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  service
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  OLE
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Sentry
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
  PINF
• HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ WksPatch
• HKEY_CURRENT_USER\ Windows Services Host
• HKEY_LOCAL_MACHINE\ Windows Services Host
• HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  Estas entradas pertenecen a diversos gusanos, entre ellos Mydoom.A, Mydoom.B, Mimail.T y diversas variantes de Bagle.

Método de Propagación 

Netsky.P se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1.- Propagación a través del correo electrónico.

Netsky.P realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables. Netsky.P usa uno de dos posibles métodos, cada uno de los cuales tiene diferentes opciones:
  
  Remitente:
  Independientemente del método utilizado, Netsky.P falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Método A:
  
  Asunto:
  Opción 1: el gusano selecciona uno de los siguientes elementos fijos:
  Re: Administration
  Re: Bad Request
  Re: Delivery Protection
  Re: Delivery Server
  Re: Encrypted Mail
  Re: Error
  Re: Extended Mail
  Re: Extended Mail System
  Re: Failure
  Re: Mail Authentification
  Re: Mail Server
  Re: Message Error
  Re: Notify
  Re: Protected Mail Delivery
  Re: Protected Mail Request
  Re: Protected Mail System
  Re: Secure delivery
  Re: Secure SMTP Message
  Re: SMTP Server
  Re: Status
  Re: Test
  Re: Thank you for delivery
  Opción 2: el asunto está compuesto de palabras de alguna o todas las listas siguientes:
  Lista 1: Re:, Re: Re:
  Lista 2: approved, important, my, your
  Lista 3: application, approved, bill, corrected, data, details, document, document_all, excel document, file, hello, here, hi, important, improved, information, letter, message, patched, product, read it immediately, screensaver, text, thanks!, website, word document
  Por ejemplo: approved, Re: my details, Re: Re: important excel document, your information, etc.
  
  Contenido:
  Authentication required.
  I have attached your document.
  I have received your document. The corrected document is attached.
  Please confirm the document.
  Please read the attached file!
  Please read the document.
  Please read the important document.
  Please see the attached file for details.
  Requested file.
  See the file.
  You have received an extended message. Please read the instructions.
  Your details.
  Your document is attached to this mail.
  Your document is attached.
  Your document is attached.
  Your document.
  Your file is attached.
  Adicionalmente, el mensaje puede incluir alguno de los siguientes textos:
  +++ Attachment: No Virus found
  +++ MessageLabs AntiVirus - www.messagelabs.com
  
  +++ Attachment: No Virus found
  +++ Bitdefender AntiVirus - www.bitdefender.com
  
  +++ Attachment: No Virus found
  +++ MC-Afee AntiVirus - www.mcafee.com
  
  +++ Attachment: No Virus found
  +++ Kaspersky AntiVirus - www.kaspersky.com
  
  +++ Attachment: No Virus found
  +++ Panda AntiVirus - www.pandasoftware.com
  
  ++++ Attachment: No Virus found
  ++++ Norman AntiVirus - www.norman.com
  
  ++++ Attachment: No Virus found
  ++++ F-Secure AntiVirus - www.f-secure.com
  
  ++++ Attachment: No Virus found
  ++++ Norton AntiVirus - www.symantec.de
  
  Adjunto: uno de los siguientes:
  message
  msg
  details
  data
  document
  readme
  La extensión de estos archivos puede ser EXE, SCR o PIF. En algunos casos, existe una segunda extensión que puede ser DOC o TXT. En estos casos hay varios caracteres en blanco insertados entre ambas extensiones.
  
  Método B:
  
  Consiste en treinta casos posibles, cada uno de los cuales tiene diferentes opciones.
  El fichero adjunto es variable, y puede tener extensión única o doble extensión (en este caso, inserta varios caracteres en blanco entre ambas). Además, el fichero adjunto puede estar comprimido en formato ZIP.
  

  Caso 1:
  Asunto: uno de los siguientes:
  Protected Mail System
  Mail Authentication
  
  Contenido: uno de los siguientes:
  Encrypted message is available.
  Protected message is attached.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  DOCUMENT, ENCRYPTED_MSG01, MESSAGE, MSG, PGP_SESS01

  Caso 2:
  Asunto: uno de los siguientes:
  Re: Approved document
  Re: Your document
  
  Contenido: uno de los siguientes:
  Please read the attached file.
  Your document is attached.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  ABOUT_YOU, ALL_DOC01, APPROVED, CORRECTED, DOCUMENT, DOCUMENT04, FILE, IMPROVED, MSG, YOUR_DOCUMENT.

  Caso 3:
  Asunto: uno de los siguientes:
  Re: Is that your document?
  Is that your password?
  
  Contenido: uno de los siguientes:
  Can you confirm it?
  I have attached it to this mail.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  DOCUMENT, PWD02, DOCUMENT01, PART6, PRIVATE_01

  Caso 4:
  Asunto: uno de los siguientes:
  Mail Delivery (failure)
  Error
  
  Contenido: uno de los siguientes:
  Binary message is available.
  Message has been sent as a binary attachment.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  DATA, EMAIL, LETTER, MESSAGE, MSG

  Caso 5:
  Asunto: uno de los siguientes:
  Hello
  Hi
  
  Contenido: uno de los siguientes:
  Try this game ;-)
  I hope the patch works.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  APPLICATION, GAME, PATCH3425, SOFTWARE

  Caso 6:
  Asunto: uno de los siguientes:
  Private document
  Stolen document
  
  Contenido: uno de los siguientes:
  I found this document about you.
  I cannot believe that.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  ABOUT_YOU, DOCUMENT342, YOUR_DOCUMENT

  Caso 7:
  Asunto: uno de los siguientes:
  Re: Hi
  Re: Its me
  
  Contenido: uno de los siguientes:
  I have attached your file. Your passwor is jkl44563.
  The file is protected with the password ghj001.
  
  Fichero adjunto: emplea uno de los siguientes nombres:
  DATA20, DOCUMENT, DOCUMENT43, LETTER32, MAILS9, MY_DETAILS, PRIV, YOUR_DOC

  Para ver información del resto de casos, pulse aquí.

2.- Propagación a través de programas P2P.

Netsky.P realiza el siguiente proceso:

• Crea copias de sí mismo en los directorios que contengan alguna de las siguientes cadenas de texto:
  my shared folder, download, ftp, htdocs, http, upload, shar, icq, bear, lime, morpheus, donkey, mule, kazaa o shared files.
  Estas copias tienen los siguientes nombres:
  1001 Sex and more.rtf.exe
  3D Studio Max 6 3dsmax.exe
  ACDSee 10.exe
  Adobe Photoshop 10 crack.exe
  Adobe Photoshop 10 full.exe
  Adobe Premiere 10.exe
  Ahead Nero 8.exe
  Altkins Diet.doc.exe
  American Idol.doc.exe
  Arnold Schwarzenegger.jpg.exe
  Best Matrix Screensaver new.scr
  Britney sex xxx.jpg.exe
  Britney Spears and Eminem porn.jpg.exe
  Britney Spears blowjob.jpg.exe
  Britney Spears cumshot.jpg.exe
  Britney Spears fuck.jpg.exe
  Britney Spears full album.mp3.exe
  Britney Spears porn.jpg.exe
  Britney Spears Sexy archive.doc.exe
  Britney Spears Song text archive.doc.exe
  Britney Spears.jpg.exe
  Britney Spears.mp3.exe
  Clone DVD 6.exe
  Cloning.doc.exe
  Cracks & Warez Archiv.exe
  Dark Angels new.pif
  Dictionary English 2004 - France.doc.exe
  DivX 8.0 final.exe
  Doom 3 release 2.exe
  E-Book Archive2.rtf.exe
  Eminem blowjob.jpg.exe
  Eminem full album.mp3.exe
  Eminem Poster.jpg.exe
  Eminem sex xxx.jpg.exe
  Eminem Sexy archive.doc.exe
  Eminem Song text archive.doc.exe
  Eminem Spears porn.jpg.exe
  Eminem.mp3.exe
  Full album all.mp3.pif
  Gimp 1.8 Full with Key.exe
  Harry Potter 1-6 book.txt.exe
  Harry Potter 5.mpg.exe
  Harry Potter all e.book.doc.exe
  Harry Potter e book.doc.exe
  Harry Potter.doc.exe
  Harry Pottergame.exe
  How tohack new.doc.exe
  Internet Explorer 9 setup.exe
  Kazaa Lite 4.0 new.exe
  Kazaa new.exe
  Keygen 4 all new.exe
  Learn Programming 2004.doc.exe
  Lightwave 9 Update.exe
  Magix VideoDeluxe 5 beta.exe
  Matrix.mpg.exe
  Microsoft Office 2003 Crack best.exe
  Microsoft WinXP Crack full.exe
  MS Service Pack 6.exe
  netsky sourcecode.scr
  Norton Antivirus 2005 beta.exe
  Opera 11.exe
  Partitionsmagic 10 beta.exe
  Porno Screensaver britney.scr
  RFC compilation.doc.exe
  Ringtones.doc.exe
  Ringtones.mp3.exe
  Saddam Hussein.jpg.exe
  Screensaver2.scr
  Serials edition.txt.exe
  Smashing the stack full.rtf.exe
  Star Office 9.exe
  Teen Porn 15.jpg.pif
  The Sims 4 beta.exe
  Ulead Keygen 2004.exe
  Visual Studio Net Crack all.exe
  Win Longhorn re.exe
  WinAmp 13 full.exe
  Windows 2000 Sourcecode.doc.exe
  Windows 2003 crack.exe
  Windows XP crack.exe
  WinXP eBook newest.doc.exe
  XXX hardcore pics.jpg.exe

• Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Netsky.P, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.

• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Netsky.P.

Otros Detalles  

Netsky.P está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 29568 Bytes y está comprimido mediante FSG.

El fichero ejecutable de Netsky.P crea un mutex llamado 'D'r'o'p'p'e'd'S'k'y'N'e't', mientras que la DLL crea que tiene por nombre _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_. Cada fichero crea su mutex correspondiente para asegurarse de que no se ejecuta varias veces al mismo tiempo.

El código del fichero ejecutable contiene el siguiente texto:

U'l't'i'm'a't'i'v'e 'E'n'c'r'y'p't'e'd 'W'o'r'm'D'r'o'p'p'e'r' 'b'y 'S'k'y'N'e't'.'C'Z' 'C'o'r'p*' 'D'r'o'p'p'e'd'S'k'y'N'e't' 'S'k'y'N'e't'F'i'g'h't's'B'a'c'k

mientras que la DLL contiene este otro:

Bagle, do not delete SkyNet. You fucked bitch! Wanna go into a prison?
We are the only AntiVirus, not Bagle, shut up and take your butterfly! - Message from SkyNet AVTeam Lets join an alli-A-n-C-e-,bagle!

Sin embargo, estos textos no son mostrados en ningún momento.