Categoría: Alerta Virus, Noticias
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading ... Loading ...

Virus Netsky.Q

Virus Netsky.Q

Este virus es un gusano que se propaga a través del envío masivo de correos electrónicos a direcciones que estan en el sistema infectado, con lo que se sirve del propio motor de envío SMTP del equipo. Su función es intentar realizar ataques DoS (Denegación de Servicio) contra distintas páginas web.

El mesaje que aparece al recibirlo es inglés y sus características pueden variar. El virus se activa automáticamente solo con ver el mensaje en la vista previa de Outlook. Para activarse se sirve de la vulnerabilidad de Internet Explorer, que permite ejecutar automáticamente los archivos del correo. La dirección del remitente del mensaje será falsa y las extensiones del archivo adjunto podrán ser: .exe, .pif, .scr, o .zip. También se puede propagar a través del intercambio de ficheros P2P.

Netsky.Q esta formado por 2 componentes: El descargador (dropper), comprimido con la utilidad “Petite” y el componente de envío masivo, una librería DLL comprimida con UPX, que se inicia por el descargador.

Cuando Netsky infecta el equipo realiza varias acciones. Cuando se ejecuta, el virus se copia a sí mismo en el directorio de Windows con los siguientes nombres:

c:\windows\sysmonxp.exe
c:\windows\firewalllogger.txt
FIREWALLLOGGER.TXT es archivo .DLL (librería dinámica). El .EXE llama a este .DLL para ejecutarlo.

Intenta borrar la entradas realizadas por otros gusanos, entre ellos, Mydoom.A, Mydoom.B, Mimail.T y también varios tipos de Bagle, en el registro de Windows:

Explorer
system.
msgsvr32
au.exe
winupd.exe
direct.exe
jijbl
Video
service
DELETE ME
d3dupdate.exe
OLE
Sentry
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
Microsoft IE Execute shell
Winsock2 driver
ICM version
yeahdude.exe
Microsoft System Checkup
de las siguientes claves de registro:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

También borra las siguientes subclaves de los registros indicados:  KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\PINF HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch HKEY_CLASSES_ROOT\CLSID\CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Crea esta entrada en el registro, para auto ejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SysMonXP = c:\windows\sysmonxp.exe

En el mensaje pueden venir distintas frases como asunto, a la que se añade, entre paréntesis, la dirección de correo del quien recibe el correo:
Deliver Mail
Delivered Message
Delivery
Delivery Bot
Delivery Error
Delivery Failed
Delivery Failure
Error
Failed
Failure
Mail Delivery failure
Mail Delivery System
Mail System
Server Error
Status
Unknown Exception

Contenido del mensej: puede ser un texto plano o tener formato HTML. Está compuesto por cuatro partes en las que aparecen distintas frases:

Parte 1:
Delivery Agent – Translation failed
Delivery Failure – Invalid mail specification
Mail Delivery – This mail couldn’t be displayed
Mail Delivery Error – This mail contains unicode characters
Mail Delivery Failed – This mail couldn’t be represented
Mail Delivery Failure – This mail couldn’t be shown.
Mail Delivery System – This mail contains binary characters
Mail Transaction Failed – This mail couldn’t be converted

Parte 2:
Elemento fijo en todos los mensajes:
————- failed message ————-

Parte 3. Uno de los siguientes textos:
Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.

Parte 4:
Or you can view the message at:
www.[dominio]/inmail/[usuario]/mread.php?
sessionid-[número al azar]
Donde el dominio de la dirección es el destinatario y el usuario el nombre de la cuenta.

En el archivo adjunto el nombre es variable, y puede tener extensión ZIP o PIF.
Los posibles nombres que puede tener el archivo son: DATA, MAIL, MESSAGE, MSG.
Por ejemplo: DATA.PIF, MESSAGE.ZIP, MSG.PIF, etc.
Cuando el archivo adjunto tiene extensión ZIP, contiene uno de los siguientes ficheros:
DATA.EML<espacios en blanco>.SCR, MAIL.EML<espacios en blanco>.SCR, MSG.EML<espacios en blanco>.SCR o MESSAGE.EML<espacios en blanco>.SCR.

El ordenador es afectado cuando se ejecuta el archivo adjunto y a continuación se envía a todas las direcciones, excepto a las que contengan algunas de estas cadenas de texto: @antivi, @avp, @bitdefender, @fbi, @f-pro, @freeav, @f-secur, @kaspersky, @mcafee, @messagel, @microsof, @norman, @norton, @pandasof, @skynet, @sophos, @spam, @symantec, @viruslis, abuse@, noreply@, ntivir, reports@, spam@.

Si se sufre la infección del virus en primer lugar debe borrarse el mensaje, incluso de la carpeta de Elementos Eliminados. Si se dispone de una red de ordenadores, el cable de red de todos los servidores debe ser desconectado para evitar nuevas infecciones.

Para protegerse del gusano, si se disponen de herramientas de filtrado, se deben configurar para que rechace este tipo de mensajes. Si aun así se recibe el mensaje no debe ser abierto y hay que eliminarlo inmediatamente. Si se dispone de antivirus hay que mantenerlo actualizado y si no se dipone de é, es conveniente instalar uno.

, , , , , , , , , , , , , , , , , , , , , , , ,

Escribe una respuesta