martes, agosto 26, 2008
Albert López
Como bien dice el titulo, desde ya hace 4 años esta peligrosa variante del virus netsky corre libremente por toda la red infectando miles de ordenadores. A continuación, presentamos un sencillo análisis sobre este ya que merece.
Nombre: Worm.W32/Netsky.Q@MM
Propagación: Mediante envio de mensajes electrónicos a los destinatarios de la maquina infectada.
Como se ha comentado, el virus se propaga mediante mail con su propio motor smtp a todos los contactos de la maquina infectada adjuntandose el mismo en el cuerpo del propio mensaje. Una de las características es que el mensaje de correo tiene una gran cantidad de alternativas en cuanto a configuración como por ejemplo el nombre del mensaje, el nombre del adjunto y el mismo es capaz de evitar enviarse a direcciónes con dominio de compañias antivirus.
En cuanto a actividad interna, no presenta grandes problemas ya que creará una única clave para asegurar la autoejecución del virus con la maquina:
Ademas el mismo virus creará los siguientes archivos en el equipo infectado:
Nombre: Worm.W32/Netsky.Q@MM
Propagación: Mediante envio de mensajes electrónicos a los destinatarios de la maquina infectada.
Como se ha comentado, el virus se propaga mediante mail con su propio motor smtp a todos los contactos de la maquina infectada adjuntandose el mismo en el cuerpo del propio mensaje. Una de las características es que el mensaje de correo tiene una gran cantidad de alternativas en cuanto a configuración como por ejemplo el nombre del mensaje, el nombre del adjunto y el mismo es capaz de evitar enviarse a direcciónes con dominio de compañias antivirus.
En cuanto a actividad interna, no presenta grandes problemas ya que creará una única clave para asegurar la autoejecución del virus con la maquina:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysMonXP = c:\windows\sysmonxp.exe
Ademas el mismo virus creará los siguientes archivos en el equipo infectado:
- c:\windows\firewalllogger.txt
- c:\windows\base64.tmp
- c:\windows\sysmonxp.exe
- c:\windows\zipo0.txt
- c:\windows\zipo1.txt
- c:\windows\zipo2.txt
- c:\windows\zipo3.txt
- c:\windows\zippedbase64.tmp
Como se puede obresrvar, no se presentará ningún tipo de problema al querer borrar estos archivos, ya que el único proceso a cerrar será el de "sysmonxp.exe" para eliminar el virus. Si no saben eliminar el virus manualmente, desde killtrojan tienen en descarga una aplicación creada por mi específicamente para borrar esta variante. (Descargar aquí)
0 comentarios:
Publicar un comentario