Netsky.V
PeligrosidadDañoPropagación

Efectos 

Netsky.V lleva a cabo las siguientes acciones:

• Instala un backdoor que escucha en los puertos TCP 5556 (donde sitúa un servicio FTP) y 5557 (donde coloca un servicio HTTP).
• Realiza ataques DoS (Denegación de Servicio) contra las siguientes páginas web, entre los días 22 y 28 de abril de 2004, ambos inclusive:
  
  
  www.emule.de
  www.cracks.am
  www.freemule.net
  www.kazaa.com
  www.keygen.us

Metodo de Infección 

Netsky.V crea los siguientes ficheros en el directorio de Windows:

• KASPERSKYAVENG.EXE y SKYAV.TMP. Estos ficheros son copias del gusano.

Netsky.V crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KasperskyAVEng= %windir%\ KasperskyAVEng.exe
  donde %windir% es el directorio de Windows.
  Mediante esta entrada, Netsky.V consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Netsky.V se propaga a través del correo electrónico. Para ello realiza el siguiente proceso:

• Llega al ordenador en un mensaje escrito en inglés y en formato HTML, con características variables:
  
  Asunto: uno de los siguientes elementos:
  Mail Delivery Sytem failure
  Mail delivery failed
  Server Status failure
  Gateway Status failure
  
  Contenido: uno de los siguientes:
  The processing of this message can take a few minutes...
  Converting message. Please wait...
  Please wait while loading failed message...
  Please wait while converting the message...
  
  Fichero adjunto: no contiene ningún fichero adjunto.
• Cuando se visualiza el mensaje el mensaje enviado por Netsky.V, el sistema se conecta a otros ordenadores infectados, mediante los puertos TCP 5556 y 5557, para descargar una página HTML, que a su vez descargará, mediante FTP, y ejecutará el fichero con el gusano. De este modo el equipo queda afectado.
• Netsky.V busca direcciones de correo electrónico en ficheros con las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.
• Netsky.V se envía a sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
• Netsky.V contiene una lista de direcciones IP que pertenecen a servidores DNS, que emplea para resolver los dominios de los servidores de correo de los destinatarios. Aunque dicha lista contiene veinticinco elementos, tres de ellos están repetidos:
  
  145.253.2.171, 193.141.40.42, 193.189.244.205, 193.193.158.10, 193.193.144.12, 194.25.2.129, 194.25.2.130, 194.25.2.131, 194.25.2.132, 194.25.2.133, 194.25.2.134, 195.20.224.234, 195.185.185.195, 212.44.160.8, 212.7.128.162, 212.7.128.165, 212.185.253.70, 212.185.252.73, 212.185.252.136, 213.191.74.19, 217.5.97.137, 151.189.13.35.

Otros Detalles  

Netsky.V está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 19432 Bytes y se encuentra comprimido mediante UPX modificado.

Netsky.V crea el mutex _-=oOOSOkOyONOeOtOo=-_ para evitar varias ejecuciones simultáneas.

Netsky.V tiene almacenado el siguiente texto:
Now we are presenting our new AntiHacker Engine - SkyNet Team.