alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Protección disponible desde | 31 de marzo de 2004 01:46:45 (GMT) |
| Última actualización | 17 de junio de 2009 23:14:44 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Netsky-R es un gusano de email que se envía a todas las direcciones obtenidas en el equipo infectado.
Al ejecutarse por primera vez, W32/Netsky-R abre la aplicación en el Bloc de notas, mientras se copia en la carpeta de Windows con el nombre pandaavengine.exe y crea el archivo temp09094283.dll. El gusano también crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PandaAVEngine
El gusano intentará además borrar las siguientes entradas del registro y otras creadas por el gusano W32/Bagle:
HKR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32 HKR\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF HKR\System\CurrentControlSet\Services\WksPatch
W32/Netsky-R busca direcciones de email en archivos con las siguientes extensiones:
EML, TXT, PHP, ASP, WAB, DOC, SHT, OFT, MSG, VBS, RTF, UIN, SHTM, CGI, DHTM, ADB, TBB, DBX, PL, HTM,HTML, JSP, WSH, XML, CFG, MBX, MDX, MHT, NMF, NCH, ODS, STM, XLS, PPT
W32/Netsky-R también crea el archivo uinmzertinmds.opm (copia del gusano en Base64) en la carpeta de Windows.
W32/Netsky-R llega en un email con las siguientes características:
Asunto: Re: Document<número aleatorio>
Mensaje: Excuse me, the important document is attached, Yours sincerely
Archivo adjunto: con extensión PIF Document<número aleatorio>
W32/Netsky-R intentará iniciar ataques DoS (Denial of Service) entre el 12 y el 16 de abril de 2004 contra los siguientes sitios Web:
www.keygen.us www.cracks.am www.emule-project.net www.emule.de www.kazaa.com
W32/Netsky-R incluye el siguiente mensaje en su código:
"Yes, true, you have understand it. Bagle is a shitty guy, he opens a backdoor and he makes a lot of money. Netsky not, Netsky is Skynet, a good software, Good guys behind it. Believe me, or not. We will release thousands of our Skynet versions, as long as bagle is there and the people...
Thanks to Bruce Schneider. And to all people in cz and russia.
Best regards - We are the only SkyNet."
|
