W32/Netsky-V

Vea la información para eliminar gusanos.

W32/Netsky-V es un gusano que utiliza una combinación de email, HTTP y FTP para propagarse. El gusano es un archivo ejecutable (EXE) para Windows.

W32/Netsky-V envía un email a todas las direcciones que encuentre en el equipo infectado. Este email no contiene ningún archivo adjunto con W32/Netsky-V. Sin embargo, código en HTML dentro del mensaje descarga una copia del gusano.

El mensaje tendrá las siguientes características:

Asunto: Mail Delivery Sytem failure Mail delivery failed Server Status failure Gateway Status failure

Mensaje: The processing of this message can take a few minutes... Converting message. Please wait... Please wait while loading failed message... Please wait while converting the message...

W32/Netsky-V abre dos puertos TCP en el equipo. Un servicio HTTP escucha en el puerto 5557 y un servicio FTP escucha en el puerto 5556. Estos puertos serán utilizados para distribuir copias del gusano desde el equipo infectado.

Cuando el usuario lee el mensaje, el gusano se descargará y el sistema quedará infectado. El gusano se aprovecha de un agujero de seguridad en Microsoft Outlook. Podrá descargar un parche desde la Web de Microsoft.

Si su sistema es vulnerable, el email de W32/Netsky-V realizará una conexión HTTP a través del puerto 5557 en el equipo infectado para descargar otro script HTML. Este script se aprovecha de otro agujero de seguridad en Outlook para realizar una conexión FTP en el puerto 5556 del equipo infectado para descargar y ejecutar W32/Netsky-V.

W32/Netsky-V se copia en la carpeta de Windows con el nombre KasperskyAVEng.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HLKM\Software\Microsoft\Windows\CurrentVersion\Run KasperskyAVEng

Entre el 22 y el 28 de abril de 2004, W32/Netsky-V realizará un ataque DoS (denial of service) contra los siguientes sitios Web:

www.keygen.us www.freemule.net www.kazaa.com www.emule.de www.cracks.am