Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Netsky.Q realiza las siguientes acciones:
- Intenta realizar ataques DoS (Denegación de Servicio) contra las siguientes páginas web, entre los días 8 al 11 de abril, ambos inclusive:
www.cracks.st
www.cracks.am
www.emule-project.net
www.kazaa.com
www.edonkey2000.com - Borra las entradas del Registro de Windows pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle.
- Emite un sonido compuesto de varios tonos aleatorios a través del altavoz interno, cuando la fecha del sistema es 30 de marzo de 2004, entre las 5:00 y las 10:59 de la mañana.
Si quiere oír un extracto de dicho sonido, pulse aquí.
Metodo de Infección
Netsky.Q crea los siguientes archivos en el directorio de Windows:
- SYSMONXP.EXE. Este archivo es una copia del gusano.
- FIREWALLLOGGER.TXT. Este archivo proporciona las funcionalidades del gusano.
- ZIPO0.TXT, ZIPO1.TXT, ZIPO2.TXT y ZIPO3.TXT. Estos archivos en formato MIME contienen una copia del gusano, comprimido en formato ZIP.
- ZIPPEDBASE64.TMP. Este archivo comprimido en formato ZIP contiene una copia del gusano.
- BASE64.TMP. Este archivo en formato MIME contiene una copia del gusano.
Netsky.Q crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
SysMonXP = %windir%\ SysMonXP.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Netsky.Q se asegura de que es ejecutado cada vez que Windows se inicia.
Netsky.Q borra las siguientes entradas del Registro de Windows, si existen:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Explorer - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Explorer - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
System - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
System - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
msgsvr32 - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
au.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
winupd.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
direct.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
direct.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Taskmon - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Taskmon - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
DELETE ME - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
d3dupdate.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
gouday.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
rate.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
OLE - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
jijbl - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Video - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
service - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Sentry - HKEY_CURRENT_USER\ Windows Services Host
- HKEY_LOCAL_MACHINE\ Windows Services Host
- HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
sysmon.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
srate.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ssate.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
winupd.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Video - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
PINF - HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ WksPatch
- HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft IE Execute shell - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Winsock2 driver - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Winsock2 driver - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ICM version - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
yeahdude - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
yeahdude - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
yeahdude - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft System Checkup - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft System Checkup - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Microsoft System Checkup
Estas entradas pertenecen a varios gusanos, entre ellos Mydoom.A, Mydoom.B, Mimail.T y diversas variantes de Bagle.
Método de Propagación
Netsky.Q se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
- Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:
Asunto: se compone de una de las siguientes frases, a la que se añade, entre paréntesis, la dirección de correo del receptor:
Deliver Mail
Delivered Message
Delivery
Delivery Bot
Delivery Error
Delivery Failed
Delivery Failure
Error
Failed
Failure
Mail Delivery failure
Mail Delivery System
Mail System
Server Error
Status
Unknown Exception
Contenido: puede consistir en texto plano o tener formato HTML, y está compuesto de frases de las siguientes listas:
Lista 1:
Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted
Elemento fijo:
------------- failed message -------------
Lista 2:
Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.
Texto final:
<caracteres aleatorios>
Archivo adjunto: el nombre es variable, y puede tener extensión ZIP o PIF.
Posibles nombres de archivo: DATA, MAIL, MESSAGE, MSG.
Por ejemplo: DATA.PIF, MESSAGE.ZIP, MSG.PIF, etc.
Cuando el archivo adjunto tiene extensión ZIP, contiene uno de los siguientes ficheros:
DATA.EML<espacios en blanco>.SCR, MAIL.EML<espacios en blanco>.SCR, MSG.EML<espacios en blanco>.SCR o MESSAGE.EML<espacios en blanco>.SCR.
Nota: en aquellos mensajes enviados en formato HTML, aparentemente no abrá fichero adjunto, y el contenido del mensaje presentará el siguiente texto adicional:
Or you can view the message at:
www. %dominio del receptor% /inmail/ %nombre del receptor% /mread.php?sessionid- %número aleatorio%
Este enlace está especialmente creado para aprovechar la vulnerabilidad Exploit/Iframe y ejecutar el código del gusano, que está incluido dentro del propio mensaje. - El ordenador queda afectado cuando se ejecuta el archivo adjunto. Además, Netsky.Q también se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha una vulnerabilidad de Internet Explorer, que permite la ejecución automática de los archivos de los mensajes de correo. Esta vulnerabilidad se denomina Exploit/Iframe.
- Netsky.Q busca direcciones de correo electrónico en aquellos archivos que tengan extensión ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS o XML.
- Netsky.Q envía una copia de sí mismo a las direcciones que ha recogido, utilizando su propio motor SMTP. Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
@antivi, @avp, @bitdefender, @fbi, @f-pro, @freeav, @f-secur, @kaspersky, @mcafee, @messagel, @microsof, @norman, @norton, @pandasof, @skynet, @sophos, @spam, @symantec, @viruslis, abuse@, noreply@, ntivir, reports@, spam@.
Otros Detalles
Netsky.Q está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 28008 Bytes y está comprimido mediante Petite.
El archivo FIREWALLLOGGER.TXT crea un mutex llamado _-oO]xX|-+S+-+k+-+y+-+N+-+e+-+t+-|Xx[Oo-_. De esta forma, se asegura de que no se ejecuta varias veces al mismo tiempo.
El código de Netsky.Q contiene el siguiente texto, aunque no es mostrado en ningún momento:
We are the only SkyNet, we don't have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren't children. Due to this, many reports are wrong.
We don't use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don't prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope...
- Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -
>