W32/Netsky-D

Vea la información para eliminar gusanos.

Windows NT/2000/XP/2003

En Windows NT/2000/XP/2003 tendrá que editar las siguientes entradas del registro modificadas (opcional en Windows 95/98/Me).

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre la entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ ICQNet = <WINDOWS>\winlogon.exe -stealth

Cierre el editor del registro.

W32/Netsky-D es un gusano de email que llega en un mensaje con las siguientes características:

Asuntos: Re: Approved Re: Details Re: Document Re: Excel file Re: Hello Re: Here Re: Here is the document Re: Hi Re: My details Re: Re: Document Re: Re: Message Re: Re: Re: Your document Re: Re: Thanks! Re: Thanks! Re: Word file Re: Your archive Re: Your bill Re: Your details Re: Your document Re: Your letter Re: Your music Re: Your picture Re: Your product Re: Your software Re: Your text Re: Your website

Mensajes: Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached.

Archivo adjunto: all_document.pif application.pif document.pif document_4351.pif document_excel.pif document_full.pif document_word.pif message_details.pif message_part2.pif mp3music.pif my_details.pif your_archive.pif your_bill.pif your_details.pif your_document.pif your_file.pif your_letter.pif your_picture.pif your_product.pif your_text.pif your_website.pif yours.pif

Al ejecutarse por primera vez, W32/Netsky-D se copia en la carpeta de Windows con el nombre winlogon.exe y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ICQNet = <WINDOWS>\winlogon.exe -stealth

W32/Netsky-D busca direcciones email en todas las unidades en archivos MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT y EML.

W32/Netsky-D intentará borra las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAv HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OLE HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

W32/Netsky-D intentará acceder a las siguientes direcciones IP: 62.155.255.16 145.253.2.171 151.189.13.35 193.193.158.10 193.193.144.12 193.189.244.205 193.141.40.42 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 195.185.185.195 195.20.224.234 212.185.252.136 212.7.128.162 212.7.128.165 212.185.253.70 212.185.252.73 212.44.160.8 213.191.74.19 217.5.97.137

W32/Netsky-D también intentará borra entradas del registro relacionadas con los gusanos W32/MyDoom-A y W32/MyDoom-B.

Si el gusano se activa el 2 de marzo de 2004 entre las 06:00 y 08:59 podría hacer que el ordenador pitase de forma esporádica.