Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Netsky.Q

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

Efectos

Netsky.Q realiza las siguientes acciones:

  • Intenta realizar ataques DoS (Denegación de Servicio) contra las siguientes páginas web, entre los días 8 al 11 de abril, ambos inclusive:
    www.cracks.st
    www.cracks.am
    www.emule-project.net
    www.kazaa.com
    www.edonkey2000.com
  • Borra las entradas del Registro de Windows pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle.
  • Emite un sonido compuesto de varios tonos aleatorios a través del altavoz interno, cuando la fecha del sistema es 30 de marzo de 2004, entre las 5:00 y las 10:59 de la mañana.
    Si quiere oír un extracto de dicho sonido, pulse aquí.

Metodo de Infección

Netsky.Q crea los siguientes archivos en el directorio de Windows:

  • SYSMONXP.EXE. Este archivo es una copia del gusano.
  • FIREWALLLOGGER.TXT. Este archivo proporciona las funcionalidades del gusano.
  • ZIPO0.TXT, ZIPO1.TXT, ZIPO2.TXT y ZIPO3.TXT. Estos archivos en formato MIME contienen una copia del gusano, comprimido en formato ZIP.
  • ZIPPEDBASE64.TMP. Este archivo comprimido en formato ZIP contiene una copia del gusano.
  • BASE64.TMP. Este archivo en formato MIME contiene una copia del gusano.

Netsky.Q crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    SysMonXP = %windir%\ SysMonXP.exe

    donde %windir% es el directorio de Windows.
    Mediante esta entrada, Netsky.Q se asegura de que es ejecutado cada vez que Windows se inicia.

Netsky.Q borra las siguientes entradas del Registro de Windows, si existen:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Explorer
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    System
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    msgsvr32
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    au.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    winupd.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    direct.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    direct.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    DELETE ME
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    d3dupdate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    gouday.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    rate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    OLE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    jijbl
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Video
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Sentry
  • HKEY_CURRENT_USER\ Windows Services Host
  • HKEY_LOCAL_MACHINE\ Windows Services Host
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    sysmon.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    srate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ssate.exe
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    winupd.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    Video
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
    PINF
  • HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ WksPatch
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Microsoft IE Execute shell
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Winsock2 driver
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Winsock2 driver
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ICM version
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    yeahdude
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    yeahdude
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    yeahdude
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Microsoft System Checkup
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Microsoft System Checkup
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    Microsoft System Checkup

    Estas entradas pertenecen a varios gusanos, entre ellos Mydoom.A, Mydoom.B, Mimail.T y diversas variantes de Bagle.

Método de Propagación

Netsky.Q se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:

    Asunto: se compone de una de las siguientes frases, a la que se añade, entre paréntesis, la dirección de correo del receptor:
    Deliver Mail
    Delivered Message
    Delivery
    Delivery Bot
    Delivery Error
    Delivery Failed
    Delivery Failure
    Error
    Failed
    Failure
    Mail Delivery failure
    Mail Delivery System
    Mail System
    Server Error
    Status
    Unknown Exception


    Contenido: puede consistir en texto plano o tener formato HTML, y está compuesto de frases de las siguientes listas:
    Lista 1:
    Delivery Agent - Translation failed
    Delivery Failure - Invalid mail specification
    Mail Delivery - This mail couldn't be displayed
    Mail Delivery Error - This mail contains unicode characters
    Mail Delivery Failed - This mail couldn't be represented
    Mail Delivery Failure - This mail couldn't be shown.
    Mail Delivery System - This mail contains binary characters
    Mail Transaction Failed - This mail couldn't be converted


    Elemento fijo:
    ------------- failed message -------------

    Lista 2:
    Message has been sent as a binary attachment.
    Modified message has been sent as a binary attachment.
    Note: Received message has been sent as a binary file.
    Partial message is available and has been sent as a binary attachment.
    Received message has been attached.
    Received message has been sent as an encoded attachment.
    The message has been sent as a binary attachment.
    Translated message has been attached.


    Texto final:


    Archivo adjunto: el nombre es variable, y puede tener extensión ZIP o PIF.
    Posibles nombres de archivo: DATA, MAIL, MESSAGE, MSG.
    Por ejemplo: DATA.PIF, MESSAGE.ZIP, MSG.PIF, etc.
    Cuando el archivo adjunto tiene extensión ZIP, contiene uno de los siguientes ficheros:
    DATA.EML.SCR, MAIL.EML.SCR, MSG.EML.SCR o MESSAGE.EML.SCR.

    Nota: en aquellos mensajes enviados en formato HTML, aparentemente no abrá fichero adjunto, y el contenido del mensaje presentará el siguiente texto adicional:
    Or you can view the message at:
    www. %dominio del receptor% /inmail/ %nombre del receptor% /mread.php?sessionid- %número aleatorio%
    Este enlace está especialmente creado para aprovechar la vulnerabilidad Exploit/Iframe y ejecutar el código del gusano, que está incluido dentro del propio mensaje.
  • El ordenador queda afectado cuando se ejecuta el archivo adjunto. Además, Netsky.Q también se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha una vulnerabilidad de Internet Explorer, que permite la ejecución automática de los archivos de los mensajes de correo. Esta vulnerabilidad se denomina Exploit/Iframe.
  • Netsky.Q busca direcciones de correo electrónico en aquellos archivos que tengan extensión ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS o XML.
  • Netsky.Q envía una copia de sí mismo a las direcciones que ha recogido, utilizando su propio motor SMTP. Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
    @antivi, @avp, @bitdefender, @fbi, @f-pro, @freeav, @f-secur, @kaspersky, @mcafee, @messagel, @microsof, @norman, @norton, @pandasof, @skynet, @sophos, @spam, @symantec, @viruslis, abuse@, noreply@, ntivir, reports@, spam@.

Otros Detalles

Netsky.Q está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 28008 Bytes y está comprimido mediante Petite.

El archivo FIREWALLLOGGER.TXT crea un mutex llamado _-oO]xX|-+S+-+k+-+y+-+N+-+e+-+t+-|Xx[Oo-_. De esta forma, se asegura de que no se ejecuta varias veces al mismo tiempo.

El código de Netsky.Q contiene el siguiente texto, aunque no es mostrado en ningún momento:

We are the only SkyNet, we don't have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren't children. Due to this, many reports are wrong.
We don't use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don't prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope...

- Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -

>