ALERTA: gusano Netsky.D.
Detectada gran propagación en las últimas horas

Hispasec - una-al-día 01/03/2004 

En las últimas horas se ha detectado la aparición de esta nueva variante del gusano Netsky, que destaca por el gran número de e-mails infectados que están siendo registrados desde un primer momento. Según indicadores en tiempo real de Hispasec, ha pasado a ser el gusano con mayor ratio de propagación a nivel internacional, incluido España entre otros muchos países. 

Puede ser fácilmente detectable a simple vista, ya que se propaga a través de e-mail en un archivo adjunto con extensión .PIF de unos 17,4KB.

Estamos viviendo en los últimos días una autentica ola de nuevas versiones de gusanos. A las cinco nuevas variantes de Bagle distribuidas este fin de semana, hay que sumarles hoy lunes la aparición en auténtica tromba de la variante Netsky.D, que a juzgar por los últimos indicadores va camino de liderar en un tiempo récord el TOP 10 del listado de propagación de virus, puesto que hasta la fecha ocupaba uno de sus predecesores, Netsky.B.

Todo parece indicar que la ola no cesará en las próximas horas, en el momento de escribir esta nota ya contamos con nuevas variantes de Netsky, y en el laboratorio de Hispasec acabamos de detectar una nueva versión de Bagle no reconocida por los antivirus. Seguiremos informando sobre estos nuevos especímenes en el caso de que detectemos ratios importantes en su propagación.

Desde Hispasec recomendamos se extremen las precauciones con los mensajes de correo electrónico que incluyan archivos adjuntos, y se configuren las actualizaciones automáticas de las soluciones antivirus para que se realicen en intervalos de tiempo más cortos (no basta con actualizar una vez al día).

En relación a Netsky.D, la amenaza más activa de momento, la reacción de las casas antivirus en proporcionar la actualización de la firma específica para que sus clientes pudieran detectarlo, según el sistema de monitorización 24hx7d del laboratorio de Hispasec, fue la siguiente:
[McAfee] 25.02.2004 19:16:31 :: W32/Netsky.c@MM 
[Panda] 01.03.2004 11:52:40 :: W32/Netsky.D.worm 
[NOD32] 01.03.2004 12:14:05 :: Win32/Netsky.D 
[Sophos] 01.03.2004 12:45:30 :: W32/Netsky-D 
[Kaspersky] 01.03.2004 13:01:12 :: I-Worm.NetSky.d 
[TrendMicro] 01.03.2004 13:04:26 :: WORM_NETSKY.D 
[Norton] 01/03/2004 15:33:05 :: W32.Netsky.D@mm

Como en ocasiones anteriores, los tiempos mencionados son hora española (GMT+1).

Destaca que McAfee detectaba a Netsky.D antes de que apareciera, con la misma firma que incluyó el 25 de febrero para detectar a su predecesor Netsky.C. En segundo lugar aparece Panda que ha sido la primera casa en incluir la firma específica para Netsky.D, mientras que NOD32 que aparece en tercer lugar a la hora de incluir la firma, en realidad, reconocía a éste espécimen como sospechoso también antes de que apareciera, a través de la función de heurística avanzada del monitor residente, que tienen los usuarios de la versión 2.0 del motor.

En cualquier caso podemos observar la rápida reacción de todas las casas antivirus, que en apenas unas pocas horas han desarrollado y distribuido las actualizaciones para neutralizar Netsky.D, una muestra más de la importancia que ha alcanzado la propagación de este gusano.
Descripción de Netsky.D

El gusano nos llega en un ejecutable adjunto comprimido con Petite y extensión .PIF de unos 17KB (17,424 bytes), en un mensaje de correo electrónico con las siguientes características:

Remitente: [dirección falseada]
Asunto: [Alguno de la siguiente lista:]
Re: Hello 
Re: Hi 
Re: Thanks! 
Re: Document 
Re: Message 
Re: Here 
Re: Details 
Re: Your details 
Re: Approved 
Re: Your document 
Re: Your text 
Re: Excel file 
Re: Word file 
Re: My details 
Re: Your music 
Re: Your bill 
Re: Your letter 
Re: Document 
Re: Your website 
Re: Your product 
Re: Your document 
Re: Your software
Re: Your archive 
Re: Your picture 
Re: Here is the document

Cuerpo del mensaje: [Alguno de la siguiente lista:]

Here is the file. 
Your file is attached. 
Your document is attached. 
Please read the attached file. 
Please have a look at the attached file.
See the attached file for details.

Archivo adjunto: [Alguno de la siguiente lista:]

yours.pif 
your_text.pif 
your_bill.pif 
mp3music.pif 
document.pif 
my_details.pif 
your_file.pif 
your_website.pif 
your_product.pif 
your_letter.pif 
your_archive.pif 
your_details.pif 
document_word.pif 
all_document.pif 
application.pif 
your_picture.pif 
document_excel.pif 
document_4351.pif 
document_full.pif 
message_part2.pif 
your_document.pif 
message_details.pif

Cuando se ejecuta el archivo .PIF, el gusano inicia la infección del sistema, copiándose como WINLOGON.EXE en la carpeta de Windows. A continuación incluye la siguiente entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ICQ Net" = %WinDir%\WINLOGON.EXE -stealth (No confundir con el ejecutable legítimo WINLOGON.EXE que puede encontrarse en la carpeta de sistema de Windows).

El gusano incluye su propio motor SMTP para autoenviarse a otras direcciones, que recopila del sistema infectado buscando en todos los archivos con extensión .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb, .txt, .uin, .vbs y .wab.

Netsky.D evita enviarse a las direcciones recolectadas que incluyan algunas de las siguientes cadenas: abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur, avp, skynet, spam, messagelabs, ymantec, antivi, icrosoft.

Adicionalmente, y como hiciera también su predecesor Netsky.C, borra varias entradas del registro, de forma que desactiva algunas aplicaciones de seguridad y otros gusanos en el caso de que se encontraran instalados en el sistema. También incluye un efecto basado en emitir sonidos con tonos semialeatorios a través del altavoz del PC infectado. 

Más información y ejemplos sobre estas características se encuentran explicadas en la descripción que ofrecimos sobre Netsky.C:

 http://www.hispasec.com/unaaldia/1949

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/1954/comentar

Bernardo Quintero
bernardo@hispasec.com