w32/netsky.j

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/netsky.j

w32/netsky.gen@mm , i-worm.netsky.gen, w32.netsky.j@mm
tipo: gusano
tama?o: 27,648 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6, registro de virus al 08/03/2004
w32/netsky.i@mm es un gusano que se difunde a trav?s de envio masivos de e-mails. utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en el computador atacado y en archivos que tienen las siguientes extensiones, .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm,.jsp, .wsh, .xml.
el gusano evita enviar emails a direcciones que contengan las siguientes caracteres:
icrosoft antivi ymantec spam avp f-secur itdefender orman cafee aspersky f-pro orton fbi abuse messagelabs skynet andasoftwa freeav sophos antivir iruslis noreply automail responder caracter?sticas del mensaje de e-mail:
asunto: {al azar entre: }
your product your letter re: corrected homework re: ive found your document re: your bill re: hello again re: hi again re: part 3 re: important document part 2 re: important re: your data re: your application re: your music re: excel document re: re: re: word document re: your details re: my details re: your requested file re: read it immediately re: approved re: your software re: my memberlist re: your document re: your file re: your important document www. [nombre de usuario].tripod.com hi mr. [nombre de usuario] moi [nombre de usuario] he [nombre de usuario] yours faithfully, [nombre de usuario] message to [nombre de usuario] hi mrs. [nombre de usuario] is [nombre de usuario].doc yours? is [nombre de usuario].xls yours? whats up [nombre de usuario] www.paypal.com/ [nombre de usuario] na [nombre de usuario] best [nombre de usuario] love [nombre de usuario] good morning [nombre de usuario] have a good day [nombre de usuario] dear [nombre de usuario] to [nombre de usuario] , its me welcome [nombre de usuario] moin [nombre de usuario] hello [nombre de usuario] your account [nombre de usuario] is expired! hey [nombre de usuario] hi [nombre de usuario] www.[nombre de usuario].freepage.com, your website hi [nombre de usuario], your product hello [nombre de usuario], your letter re: hi [nombre de usuario], your archive re: [nombre de usuario], your text re: hello [nombre de usuario], your bill re: hi [nombre de usuario], your details re: hello [nombre de usuario], my details re: hi [nombre de usuario], your word file re: hello [nombre de usuario], your excel file re: hi [nombre de usuario], details re: hello [nombre de usuario], approved re: hello [nombre de usuario], your software re: hi [nombre de usuario], your music re: dear [nombre de usuario], here re: re: re: hello [nombre de usuario], your document re: hi [nombre de usuario] re: dear [nombre de usuario], hi re: re: hi [nombre de usuario], your message re: here [nombre de usuario], your picture re: hi [nombre de usuario], here is the document re: hello [nombre de usuario], your document re: [nombre de usuario], thanks! re: re: [nombre de usuario], thanks! re: re: hi [nombre de usuario], document re: hello [nombre de usuario], document cuerpo: {al azar entre: }
your file is attached. use this password for the file: [n?mero aleatorio]. please read the attached file. password for the file is [n?mero aleatorio]. please have a look at the attached file. password for decrypting is [n?mero aleatorio]. see the attached file for details. password is [n?mero aleatorio]. here is the file. my password is [n?mero aleatorio]. your document is attached. your password is [n?mero aleatorio]. archivo adjunto:
website_ [nombre de usuario].pif your_product_ [nombre de usuario].pif letter_ [nombre de usuario].pif archive [nombre de usuario].pif your_text [nombre de usuario].pif bill_ [nombre de usuario].pif your_details [nombre de usuario].pif [nombre de usuario]_details.pif [nombre de usuario]_document_word.pif [nombre de usuario]_document_excel.pif [nombre de usuario]_my_details.pif [nombre de usuario]_all_document.pif [nombre de usuario]_application.pif mp3music_ [nombre de usuario].pif yours [nombre de usuario].pif document_ [nombre de usuario]4351.pif [nombre de usuario]_picture.pif [nombre de usuario]_file.pif [nombre de usuario]_message_details.pif yourpicture [nombre de usuario].pif [nombre de usuario]_document_full.pif [nombre de usuario]_your_message_part2.pif [nombre de usuario]information.pif [nombre de usuario]document.pif [nombre de usuario]_your_document.pif -----------------------------------
cuando el gusano se ejecuta crea un mutex llamado skynet_avp el cual le permite que s?lo una instancia del gusano se ejecute en memoria.
seguidamente se copia a s? mismo como windows \avpguard.exe
adem?s crea una entrada en el registro del sistema para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
myav= windows \avpguard.exe -av serv
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
seguidamente intentar? remover los siguientes valores en el registro:
taskmon explorer windows services host de las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_current_user\software\microsoft\windows\currentversion\run
tambi?n eliminar? los siguientes valores:
sentry service system. delete me msgsvr32 de la siguiente entrada:
hkey_local_machine\software\microsoft\windows\currentversion\run
seguidamente remover? los siguientes valores en:
d3dupdate.exe au.exe ole gouday.exe rate.exe sysmon.exe srate.exe ssate.exe sate.exe hkey_current_user\software\microsoft\windows\currentversion\run
finalmente eliminar? los valores de las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\runservices\system
hkey_classes_root\clsid\{e6fb5e20-de35-11cf-9c87-00aa005127ed}\inprocserver32
hkey_current_user\software\microsoft\windows\currentversion\explorer\pinf
hkey_local_machine\system\currentcontrolset\services\wkspatch


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo