Nuevo gusano Netsky.B

Por segundo día consecutivo un nuevo gusano de propagación masiva vuelve
a ocupar el protagonismo de nuestra información.

Se trata de la variante B del gusano Netsky, bautizado como Netsky.B que

basa su propagación en el correo electrónico y las redes de intercambio

de archivos y que en estos momentos ya ha infectado a múltiples usuarios.

Este virus se propaga a través del correo electrónico y todas las unidades

disponibles del sistema infectado (desde la C: hasta la Z:), lo que

incluye las unidades de red a las que tenga acceso. Se envía a si mismo

a las direcciones que encuentra en el sistema de la víctima y se copia

con atractivos nombres en las carpetas que contengan las palabras

share o sharing de cualquiera de las unidades, con objeto de

propiciar su distribución a través de aplicaciones P2P como KaZaA, eMule

o similares.

Netsky.B se puede presentar en múltiples formas

diferentes, lo que puede dificultar su identificación a simple vista.

Para autoenviarse emplea su propio motor SMTP, falsificando el e-mail

del remitente (con direcciones obtenidas del sistema del usuario

rastreando entre archivos de diversas extensiones, como .html, .html,

.php, .eml, .msg, txt, .wab o comprimido en un .zip). De esta forma la

dirección no corresponderá al usuario realmente infectado desde cuyo

sistema se está enviando el gusano.

Como ya dijimos ayer, la

regla de oro a seguir es no abrir o ejecutar archivos potencialmente

peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente,

contar con soluciones antivirus correctamente instaladas y puntualmente

actualizadas. También resulta útil seguir los foros de seguridad o

listas como una-al-día, para estar al tanto de las últimas amenazas

que nos pueden afectar.

El asunto del mensaje puede ser uno de

los siguientes:

fake

for

hello

hi

immediately

information

it

read

something

stolen

unknown

warning

you

El cuerpo del mensaje es una frase corta en inglés elegida

aleatoriamente entre más de 40 diferentes. De forma similar ocurre con

el nombre del archivo adjunto, cuya extensión puede variar entre .doc,

.htm, .rtf o .text, seguido de .com, .exe, .pif o .scr para lograr su

ejecución.

El gusano se copia a si mismo en la carpeta

%WinDir% (Windows) con el nombre de archivo services.exe. Y se crea la

siguiente clave del registro para asegurarse su ejecución cada vez que

el usuario inicie el sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

service = C:WINNTservices.exe -serv

El virus

elimina las siguientes claves del registro provocando entre otros

efectos la desactivación de los gusanos Mydoom.A y Mydoom.B en el caso

de encontrarse en el sistema infectado:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Taskmon

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Explorer

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Taskmon

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Explorer

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

KasperskyAv

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun system.