Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Netsky.AB elimina las entradas del Registro de Windows pertenecientes a diversas variantes del gusano Bagle.
Metodo de Infección
Netsky.AB crea el archivo CSRSS.EXE en el directorio de Windows. Este archivo es una copia del gusano.
Netsky.AB crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
BagleAV = %windir%\ csrss.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Netsky.AB consigue ejecutarse cada vez que Windows se inicia.
Netsky.AB elimina las siguientes entradas del Registro de Windows, si existen:
- HKEY_CURRENT_USER\SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ssgrate.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
drvsys.exe
Estas entradas pertenecen a diversas variantes del gusano Bagle.
Método de Propagación
Netsky.AB se propaga a través del correo electrónico. Para ello, realiza las siguientes acciones:
Llega al ordenador en un mensaje escrito en inglés de características variables:
Remitente:
Netsky.AB falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse
aquí.
Asunto: uno de los siguientes:
Correction
Criminal
Found
Funny
Hurts
Illegal
Letter
Letter
Money
More samples
Numbers
Only love?
Password
Picture
Pictures
Privacy
Question
Stolen
Text
WowContenido: uno de los siguientes:
Are your numbers correct?
Do you have asked me?
Do you have more photos about you?
Do you have more samples?
Do you have no money?
Do you have written the letter?
Does it hurt you?
Hey, are you criminal?
How can I help you?
I've found your creditcard. Check the data!
I've your password. Take it easy!
Please do not sent me your illegal stuff again!!!
Please use the font arial!
Still?
The text you sent to me is not so good!
True love letter?
Why do you show your body?
Wow! Why are you so shy?
You have no chance...
Your pictures are good!Archivo adjunto: uno de los siguientes:
ALL_PICTURES.PIF
CORRECTED_DOC.PIF
DOCUMENT1.PIF
HURTS.PIF
IMAGE034.PIF
LOVELETTER02.PIF
MY_STOLEN_DOCUMENT.PIF
MYABUSELIST.PIF
PASSWORDS02.PIF
PIN_TEL.PIF
VISA_DATA.PIF
YOUR_BILL.PIF
YOUR_LETTER.PIF
YOUR_LETTER_03.PIF
YOUR_PICTURE.PIF
YOUR_PICTURE01.PIF
YOUR_TEXT.PIF
YOUR_TEXT01.PIF
- El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
- Netsky.AB busca direcciones de correo electrónico en archivos con las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.
- Netsky.AB se envía a todas las direcciones recopiladas, utilizando su propio motor SMTP.
- Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
abuse, andasoftwa, antivi, antivir, aspersky, avp, cafee, fbi, f-pro, freeav, f-secur, icrosoft, iruslis, itdefender, messagelabs, orman, orton, skynet, sophos, spam e ymantec.
Otros Detalles
Netsky.AB está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 17920 Bytes y se encuentra comprimido mediante PECompact.
Además, Netsky.AB crea el mutex S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m para asegurarse de que no es ejecutado varias veces simultáneamente.