Gusano Netsky.C, más de lo mismo

Si bien en España, según indicadores de Hispasec, los casos detectados

hasta el momento han sido mínimos, y queda muy lejos de los ratios que

sitúan como gusano más propagado a la variante Netsky.B, de similares

características.

Respecto a las características de Netsky.C,

como ya avanzamos en el titular, es muy similar a sus predecesores,

Netsky.A y Netsky.B, este último de gran incidencia.

Como

principales diferencias, destaca que los ejecutables de Netsky.C se han

presentado de varias formas y tamaños al ser comprimidos por diferentes

utilidades, como Petite (25,353 bytes), Aspack (28,160 bytes) y UPX

(24,064 bytes). Esto puede representar ciertos problemas a los motores

que no reconozcan estos formatos de compresión, haciendo necesario que

introduzcan varias firmas para detectar las diferentes formas en que

puede presentarse. Otra diferencia es que Netsky.C no muestra un mensaje

de error cuando es ejecutado, como si lo hacían Netsky.A y Netsky.B.

Además incluye un payload que se activa el 26 de febrero desde las 6

hasta las 9 de la mañana, consistente en emitir sonidos de diferentes

frecuencias por el altavoz del ordenador, que vienen a recordar a los

sonidos que simulaban robots o computadores en las antiguas películas de

ciencia ficción.

Algunas casas antivirus han proporcionado

un archivo de audio .WAV para que los usuarios puedan escucharlo y

reconocerlo sin riesgos, por ejemplo:

http://vil.nai.com/images/101048.wav;

Cuando se

ejecuta, realiza una copia de si mismo en la carpeta de Windows como

Winlogon.exe, e incluye la siguiente entrada en el registro de Windows

para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ICQ

Net = %Windir%winlogon.exe -stealth

Además

borra diferentes valores en el registro de Windows, con el fin de

desactivar algunos gusanos que pudieran estar presentes en el sistema,

como Mydoom.A, Mydoom.B, Netsky.A, Netsky.b y Mimail.T, o antivirus como

Kaspersky.

Distribución por correo electrónico, unidades de

disco, y redes P2P

Al igual que su predecesor Netsky.B, se

trata de un gusano que se distribuye principalmente a través del correo

electrónico. También puede infectar a otros equipos a través de las

unidades de red (chequea desde la C: hasta la Z:) y se copia en las

carpetas cuyo nombre contenga la cadena Shar, que en muchos casos se

corresponderán con las carpetas compartidas de los clientes P2P (por

ejemplo, el popular KaZaa).

Para copiarse en las carpetas

compartidas de los clientes P2P, como suele ser habitual en este tipo de

gusanos, utiliza nombres de archivos con referencias a contenidos

pornográficos, cracks, aplicaciones pirateadas, archivos de música,

documentos, etc., que pretenden ser atractivos para que otros usuarios

de las redes P2P lo descarguen y ejecuten, logrando su infección.

Por e-mail se puede presentar de múltiples formas diferentes, lo que puede

dificultar su identificación a simple vista, aunque la extensión del

archivo terminará en .ZIP, .COM, .EXE, .PIF o .SCR.

Para

autoenviarse emplea su propio motor SMTP, falsificando el e-mail del

remitente, con direcciones del sistema del usuario que obtiene

rastreando entre archivos de diversas extensiones, como .adb, .asp,

.cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf,

.sht, .shtm, .tbb, .txt, .uin, .vbs, y .wab.

El asunto del

mensaje en el que viaja, el texto del cuerpo, o el nombre del archivo,

son muy variables, en función de unas extensas listas que el gusano

incorpora. Si bien destaca que todos los textos son en inglés, lo que

favorece a los usuarios de otras lenguas, como el español, que por este

motivo pueden ser más recelosos a la hora de abrir los mensajes en el

que viaja Netsky.C y sus otras variantes.

Como siempre la regla

de oro a seguir es no abrir o ejecutar archivos potencialmente

peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente,

contar con soluciones antivirus correctamente instaladas y puntualmente

actualizadas.