Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Netsky.AC

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Netsky.AC elimina las entradas del Registro de Windows pertenecientes a diversas variantes del gusano Bagle.

Metodo de Infección 

Netsky.AC crea el archivo WSERVER.EXE en el directorio de Windows. Este archivo es una copia del gusano.

Netsky.AC crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    wserver = %windir%\ wserver.exe
    donde %windir% es el directorio de Windows.
    Mediante esta entrada, Netsky.AC consigue ejecutarse cada vez que Windows se inicia.

Netsky.AC elimina las siguientes entradas del Registro de Windows, si existen:

  • HKEY_CURRENT_USER\SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ssgrate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    drvsys.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Drvddll.exe
    Estas entradas pertenecen a diversas variantes del gusano Bagle.

Método de Propagación 

Netsky.AC se propaga a través del correo electrónico. Para ello, realiza las siguientes acciones:

  • Llega al ordenador en un mensaje escrito en inglés de características variables:

    Remitente:
    Netsky.AC falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse     aquí.
    Netsky.AC emplea una de las siguientes direcciones como remitente de su mensaje:
    support@symantec.com
    support@nai.com
    support@norman.com
    support@sophos.com

    Asunto:
    Escalation

    Contenido:
    Dear user of %dominio%

    We have received several abuses:

    - Hundreds of infected e-Mails have been sent
    from your mail account by the new     %gusano% worm
    - Spam email has been relayed by the backdoor
    that the virus has created
    The malicious file uses your mail account to distribute
    itself. The backdoor that the worm opens allows remote attackers
    to gain the control of your computer. This new worm
    is spreading rapidly around the world now
    and it is a serios new threat that hits users.

    Due to this, we are providing you to remove the
    infection on your computer and to
    stop the spreading of the malware with a
    special desinfection tool attached to this mail.

    If you have problems with the virus removal file,
    please contact our support team at     %remitente%.

    Note that we do not accept html email messages.

    %compañía%

    Attach: Fix_%gusano%_%texto%.cpl

    donde:
    %dominio% es el dominio de correo del receptor
    %gusano% es un nombre de gusano perteneciente a la siguiente lista: NetSky.AB, Sasser.B, Bagle.AB, Mydoom.F, MSBlast.B.
    %compañía% es uno de los siguientes textos: Norton AntiVirus Research Team, MCAfee AntiVirus Research Team, Norman AntiVirus Research Team, Sophos AntiVirus Research Team.
    %texto% representa un conjunto de caracteres aleatorios.

    Archivo adjunto: tiene nombre variable:
    FIX_%gusano%_%texto%.CPL
  • El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
  • Netsky.AC busca direcciones de correo electrónico en archivos con las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.
  • Netsky.AC se envía a todas las direcciones recopiladas, utilizando su propio motor SMTP.
  • Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
    abuse, andasoftwa, antivi, antivir, aspersky, avp, cafee, fbi, f-pro, freeav, f-secur, icrosoft, iruslis, itdefender, messagelabs, orman, orton, skynet, sophos, spam e ymantec.

Otros Detalles  

Netsky.AC está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 36864 Bytes y se encuentra comprimido mediante PECompact.

Además, Netsky.AC crea el mutex SkyNet-Sasser para asegurarse de que no es ejecutado varias veces simultáneamente.

Netsky.AC contiene el siguiente texto dentro de su código, aunque no es mostrado en ningún momento:

Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet...'
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info