I-Worm.Netsky.q

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Netsky.q

I-Worm.Netsky.q« Volver al listado de Virus

Alias:

Netsky.Q, Win32/Netsky.Q, W32.Netsky.Q@mm

Kaspersky Labs. ha informado de la aparicion de nuevas versiones del virus NetSky, este gusano de Internet se está progagando masivamente y con gran rapidez igual que las versiones anteriores.

Netsky.q se extiende adjuntandose en diferentes correos electrónicos y también a traves de la redes de intercambio P2P.
El componente principal del gusano es que un archivo .EXE de aproximadamente 29KB. El gusano que esta comprimido en FSG y su tamaño descomprimido es de aproximadamente 40KB.

Infeccion y propagacion:

Cuando se ejecuta, el gusano se copia en el directorio de Windows con estos nombres:

c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll

Y además también crea los siguientes archivos en esta carpeta:
zipped.tmp
base64.tmp
zip1.tmp
zip2.tmp
zip3.tmp

El gusano añade la siguiente entrada en el registro, para autoejecutarse cada vez que reiniciamos el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Norton Antivirus AV = c:\windows\fvprotect.exe

El gusano busca direcciones de correo en los archivos con las siguientes extensiones que encuentre en los discos del ordenador infectado:

.eml
.txt
.php
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.pl
.htm
.html
.adb
.tbb
.dbx
.sht
.oft
.msg
.jsp
.wsh
.xml

Los correos electrónicos con los que se reenvía este gusano tienen las siguientes características.

De: {Falso remitente}
Cualquier dirección de las obtenidas por el virus en el ordenador infectado.

Asunto:

.Re: Hi .Re: Hello
.Re: Encrypted Mail
.Re: Extended Mail
.Re: Status
.Re: Notify
.Re: SMTP Server
.Re: Mail Server
.Re: Delivery Server
.Re: Request
.Re: Bad Request
.Re: Failure
.Re: Thank you for delivery
.Re: Test
.Re: Administration
.Re: Message Error
.Re: Error
.Re: Extended Mail System
.Re: Secure SMTP Message
.Re: Protected Mail Request
.Re: Protected Mail System
.Re: Protected Mail Delivery
.Re: Secure delivery
.Re: Delivery Protection
.Re: Mail Authentification
.Re: List
.Re: Question
.Re: Proof of concept
.Re: Developement
.Re: Message
.Re: Error in document
.Re: Free porn
.Re: Sex pictures
.Re: Submit a Virus Sample
.Re: Virus Sample
.Re: Old times
.Re: Old photos
.Re: Sample
.Re: Its me
.Re: Is that your document?
.Re: Approved document
.Re: Your document
.Protected Mail System
.Mail Authentication
.Is that your password?
.Private document
.Stolen document
.Mail Account
.Administrator
.Illegal Website
.Internet Provider Abuse
.Thank you!
.Congratulations!
.Postcard
.Your day
.Mail Delivery
.Error
.Shocking document
.You cannot do that!
.hi
.hello
.Fwd: Warning again
.Notice again
.Spamed?
.Spam
.0i09u5rug08r89589gjrg
.Re: A!p$ghsa
.Important m$6h?3p
.Do you?
.Does it matter?
.News
.Information
.I love you!
.I cannot forget you!
.here
.your
.my
.thanks!
.approved
.corrected
.patched
.improved
.important
.read it immediately

Cuerpo del mensaje:

.Please see the attached file for details
.Please read the attached file!
.Your document is attached.
.Please read the document.
.Your file is attached.
.Your document is attached.
.Please confirm the document.
.Please read the important document.
.See the file.
.Requested file.
.Authentication required.
.Your document is attached to this mail.
.I have attached your document.
.I have received your document. The corrected document is attached.
.Your document.
.Your details.
.Please confirm!
.Please answer quickly!
.Thank you for your request, your details are attached!
.Thanks!
.am shocked about your document!

Best wishes,
your friend.

Congratulations!,
your best friend.

I found this document about you.
I cannot believe that.

Try this game ;-)
I hope the patch works.

Al final del mensaje también puede incluir alguno de estos textos:

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com

++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

Archivo adjunto:

El archivo adjunto puede tener muchos y variados nombres, estos son algunos de los mas utilizados:
.data
.details
.document
.message
.msg
.readme

El archivo adjunto a menudo tiene doble extensión, siendo. doc o .txt la primera, y la segunda alguna de estas:
.exe
.pif
.scr
.zip

Desinfección:

La protección contra el I-WORM.NETSKY.Q ya se añadió a las bases de virus de Kaspersky Antivirus.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.