W32/Netsky-I

Vea la información para eliminar gusanos.

Windows NT/2000/XP/2003

En Windows NT/2000/XP/2003 tendrá que editar las siguientes entradas del registro modificadas (opcional en Windows 95/98/Me).

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre la entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Tiny AV = "<Windows>\fooding.exe -antivirus service"

Cierre el editor del registro.

W32/Netsky-I es un gusano de email que se envía mediante su propio programa de correo SMTP a todas las direcciones obtenidas en el equipo infectado.

W32/Netsky-I se copia en la carpeta de Windows con el nombre fooding.exe y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Tiny AV = "<Windows>\fooding.exe -antivirus service"

El gusano intenta inhabilitar diferentes programas antivirus y de seguridad, así como otros gusanos que puedan encontrarse en el equipo, borrando las siguientes entradas:

Taskmon, Explorer, system., msgsvr32, DELETE ME, service, Sentry, Windows Services Host

en la clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

El gusano también borra los siguientes valores:

Explorer, d3dupdate.exe, au.exe, OLE, Windows Services Host, gouday.exe, rate.exe, sate.exe, ssate.exe, srate.exe, sysmon.exe.

en la clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

W32/Netsky-I borra además las siguientes entradas:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 HKLM\System\CurrentControlSet\Services\WksPatch HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

Algunas de estas entradas son creadas por diferentes variantes de los gusanos W32/Bagle y W32/MyDoom.

W32/Netsky-I busca direcciones de email en archivos con las siguientes extensiones:

DHTM, CGI, SHTM, MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT, EML

El gusano no utilizará direcciones que incluyan las siguientes cadenas de texto:

iruslis antivir sophos freeav andasoftwa skynet messagelabs abuse orton f-pro aspersky cafee orman itdefender f-secur spam ymantec antivi icrosoft

W32/Netsky-I llega en un mensaje con las siguientes características:

Asunto: Mail account expired Mail account closed Mail account deactivated

Mensaje: Your mail account expired. Please follow the link to reactivate. Your mail account has been closed. Click on the link for further details. Your mail account has been deactivated. To reactivate, follow the link.

Note, the message text ends with a string which implies an internet site which is simply a pointer to the attached file.

Archivo adjunto: http://www.<recipient_domain_name>/<recipient_name>/index.scr

El 5 de marzo de 2004 entre las 11:00 y las12:00, W32/Netsky-I reproducirá sonidos aleatorios.