alta
Resumen
Resumen
Acción- Más información
| Sistemas operativos vulnerables | Windows |
|---|---|
| Incluido en nuestros productos desde | Abril 2004 (3.80) |
| Protección disponible desde | 3 de marzo de 2004 11:49:12 (GMT) |
| Última actualización | 9 de marzo de 2004 07:12:33 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Netsky-F es un gusano de email.
Al ejecutarse por primera vez, W32/Netsky-F se copia en la carpeta de Windows con el nombre svchost.exe y crea la siguiente entrada en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client Ex = C:\Windows\svchost.exe -antivirus service.
El gusano intentará inhabilitar diferentes programas antivirus y de seguridad borrando entradas en el registro, en concreto:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ for Taskmon, Explorer, KasperskyAv, system., msgsvr32, DELETE ME, service, Sentry, Windows Service Host
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ for Taskmon, Exporer, KasperskyAv, d3dupdate.exe, au.exe, OLE, Windows Service Host, gouday.exe, rate.exe, sysmon.exe.
De esta forma también inhabilitará a los gusanos W32/Bagle-A, W32/Bagle-B (también conocido como W32/Tanx-A), W32/Bagle-C, W32/Bagle-D, W32/Bagle-E, W32/Bagle-F, W32/Bagle-G, W32/Bagle-H, y W32/Bagle-I.
El gusano también borra las siguientes entradas del registro:
HKCR\CLSID\E6FB5E20-DE35-11CF-9C87-00AA005127ED\InProcServer32 HKCU\System\CurrentControlSet\Services\WksPatch HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
W32/Netsky-F busca direcciones email en todas las unidades en archivos DHTM, CGI, SHTM, MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT y EML, e ignorará direcciones con alguna de las siguientes cadenas de texto: iruslis antivir sophos freeav andasoftwa skynet messagelabs abuse orton f-pro aspersky cafee orman itdefender f-secur spam ymantec antivi icrosoft
W32/Netsky-F utiliza su propio programa de correo SMTP para enviarse en un mensaje con las siguientes características:
Asunto: Re: Your website Re: Your product Re: Your letter Re: Your archive Re: Your text Re: Your bill Re: Your details Re: My details Re: Word file Re: Excel file Re: Details Re: Approved Re: Your software Re: Your music Re: Here Re: Re: Re: Your document Re: Hello Re: Hi Re: Re: Message Re: Your picture Re: Here is the document Re: Your document Re: Thanks! Re: Re: Thanks! Re: Re: Document Re: Document
Mensaje: Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached.
Archivo adjunto: your_website.pif your_product.pif your_letter.pif your_archive.pif your_text.pif your_bill.pif your_details.pif document_word.pif document_excel.pif my_details.pif all_document.pif application.pif mp3music.pif yours.pif document_4351.pif your_file.pif message_details.pif your_picture.pif document_full.pif message_part2.pif document.pif your_document.pif.
El día 2 de marzo de 2004, W32/Netsky-F emitirá diferentes pitidos entre las 6 y las 8.
W32/Netsky-F incluye el siguiente código entre su código:
Skynet AntiVirus - Bagle - you are a looser!!!!
|
