w32/netsky.m

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/netsky.m

w32.netsky.m@mm , worm_netsky.m
tipo: gusano
tama?o: 16,896 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6, registro de virus al 11/03/2004
w32/netsky.m@mm es un gusano que se difunde a trav?s de envio masivos de e-mails. utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en el computador atacado y en archivos que tienen las siguientes extensiones, .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm.
caracter?sticas del mensaje de e-mail:
asunto: {al azar entre: }
re: [nombre de usuario] requested file re: [nombre de usuario] my file re: [nombre de usuario] my document re: [nombre de usuario] my information re: [nombre de usuario] my details re: [nombre de usuario] information re: [nombre de usuario] improved re: [nombre de usuario] requested document re: [nombre de usuario] document re: [nombre de usuario] details re: [nombre de usuario] your document re: [nombre de usuario] your details re: [nombre de usuario] approved cuerpo: {al azar entre: }
details for [nombre de usuario]. document [nombre de usuario]. i have received your document. the improved document [nombre de usuario] is attached. i have attached your document [nombre de usuario]. your document [nombre de usuario] is attached to this mail. authentification for [nombre de usuario] required. requested file [nombre de usuario]. see the file [nombre de usuario]. please read the important message msg_[nombre de usuario]. please confirm the document [nombre de usuario]. [nombre de usuario] is attached. your file [nombre de usuario] is attached. please read the document [nombre de usuario]. your document [nombre de usuario] is attached. please read the attached file [nombre de usuario]. please see the attached file [nombre de usuario] for details.. archivo adjunto:
improved_ [nombre de usuario].pif message_ [nombre de usuario].pif detailed_ [nombre de usuario].pif your_document_ [nombre de usuario].pif word_doc_ [nombre de usuario].pif doc_ [nombre de usuario].pif articel_ [nombre de usuario].pif picture_ [nombre de usuario].pif file_ [nombre de usuario].pif your_file_ [nombre de usuario].pif details_ [nombre de usuario].pif document_ [nombre de usuario].pif [nombre de usuario].pif -----------------------------------
cuando el gusano se ejecuta crea un mutex llamado rabbo_mutex. el cual le permite que s?lo una instancia del gusano se ejecute en memoria.
seguidamente se copia a s? mismo como windows \avprotect9x.exe
adem?s crea una entrada en el registro del sistema para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
9xhtprotect= windows \avprotect9x.exe
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
finalmente utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones encontradas en el computador infectado. el gusano utiliza el servidor dns local o alguno de la siguiente lista:
12.82.159.180 133.9.220.117 137.132.19.110 137.189.6.1 140.117.100.120 163.121.199.3 168.160.212.8 192.150.249.10 194.2.229.10 194.209.114.1 194.85.8.220 195.112.195.34 195.161.113.189 200.74.214.246 202.30.64.5 202.44.144.33 202.99.104.68 203.162.0.11 203.81.44.47 210.66.241.1 211.169.245.170 217.117.203.2 61.100.23.164 62.32.50.204 81.26.161.16


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo