UNAM-CERT

En las últimas horas el CERT/UNAM-CERT ha recibido reportes de una nueva variante del virus Netsky denominada Netsky.O. El virus utiliza su propio motor SMTP para enviarse por sí mismo a las direcciones de correo que encuentra cuando escanea el disco duro y las unidades mapeadas.

Netsky.o conocido también como Win32.Netsky.O [Computer Associates] NetSky.O [F-Secure], W32/Netsky.o@MM [McAfee], W32/Netsky.O.worm [Panda], W32/Netsky-O [Sophos], WORM_NETSKY.O [Trend], W32.Netsky.O@mm [Symantec] por los distintos distribuidores antivirus.

El gusano utiliza su propio motor SMTP para enviarse por sí mismo a las direcciones de correo encontradas en el sistema.

El correo tiene las siguientes características:

• Campo From - Falsificado por el gusano.
  
  
  
• Campo Subject - Puede ser uno de los siguientes:
  
  
  • Re: Encrypted Mail
  • Re: Extended Mail
  • Re: Status
  • Re: Notify
  • Re: SMTP Server
  • Re: Mail Server
  • Re: Delivery Server
  • Re: Bad Request
  • Re: Failure
  • Re: Thank you for delivery
  • Re: Test
  • Re: Administration
  • Re: Message Error
  • Re: Error
  • Re: Extended Mail System
  • Re: Secure SMTP Message
  • Re: Protected Mail Request
  • Re: Protected Mail System
  • Re: Protected Mail Delivery
  • Re: Secure delivery
  • Re: Delivery Protection
  • Re: Mail Authentification
  
  
• Mensaje - Puede ser uno de los siguientes:
  
  
  • Please confirm my request.
  • ESMTP [Secure Mail System #334]: Secure message is attached.
  • Partial message is available.
  • Waiting for a Response. Please read the attachment.
  • First part of the secure mail is available.
  • For more details see the attachment.
  • For further details see the attachment.
  • Your requested mail has been attached.
  • Protected Mail System Test.
  • Secure Mail System Beta Test.
  • Forwarded message is available.
  • Delivered message is attached.
  • Encrypted message is available.
  • Please read the attachment to get the message.
  • Follow the instructions to read the message.
  • Please authenticate the secure message.
  • Protected message is attached.
  • Waiting for authentification.
  • Protected message is available.
  • Bad Gateway: The message has been attached.
  • SMTP: Please confirm the attached message.
  • You got a new message.
  • Now a new message is available.
  • New message is available.
  • You have received an extended message. Please read the instructions.
    
  
  
  Seguido por uno de los siguiente párrafos:
  
  
  • +++ Attachment: No Virus found
    +++ Panda AntiVirus - You are protected
    +++ www.pandasoftware.com
    
  • +++ Attachment: No Virus found
    +++ Norman AntiVirus - You are protected
    +++ www.norman.com
    
  • +++ Attachment: No Virus found
    +++ F-Secure AntiVirus - You are protected
    +++ www.f-secure.com
    
  • +++ Attachment: No Virus found
    +++ Norton AntiVirus - You are protected
    +++ www.symantec.de
    
  
  
  
• Archivo Adjunto - Puede ser uno de los siguientes:
  
  
  • readme.pif
  • document.pif
  • data.pif
  • details.pif
  • msg.pif
  • message.pif
    

1. Crea un mutex para permitir solo una copia del gusano en ejecución.
2. Se copia a sí mismo como %Windir%\AVBgle.exe:
   
   Nota: %Windir% es una variable. El gusano localiza el directorio de instalación de Windows y se copia por sí mismo a esta localidad. De forma predeterminada, esto es C:\Windows (Windows 95/98/Me,XP) ó C:\Winnt (Windows NT/2000).
   
   
3. Crea el archivo %Windir%\base64.bmp (22,456 bytes), el cual es un gusano codificado en MIME64.
   
   
4. Agrega el valor:
   
   "MSInfo"="%Windir%\AVBgle.exe"
   
   a la clave del registro:
   
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   para que se ejecute cuando inicie Windows.
   
   
5. Elimina los valores:
   
   
   • Explorer
   • system.
   • msgsvr32
   • au.exe
   • service
   • DELETE ME
   • d3dupdate.exe
   • Sentry
   • Taskmon
   • Windows Services Host
   
   
   de la clave del registro:
   
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
6. Elimina el valor:
   
   system
   
   de la clave del registro:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   
   
7. Elimina los valores:
   
   
   • Explorer
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe
   
   
   de la clave del registro:
   
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
8. Elimina el valor:
   
   InProcServer32
   
   de la clave del registro:
   
   HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
   
   
9. Elimina las siguientes subclaves:
   
   
   • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
   
   
10. Obtiene direcciones de correo electrónico desde los archivos con estas extensiones en las unidades de la C a la Z:
    
    
    • .adb
    • .asp
    • .cgi
    • .dbx
    • .dhtm
    • .doc
    • .eml
    • .htm
    • .html
    • .jsp
    • .msg
    • .oft
    • .php
    • .pl
    • .rtf
    • .sht
    • .shtm
    • .tbb
    • .txt
    • .uin
    • .vbs
    • .wab
    • .wsh
    • .xml
      
    
    

• Ejecutar, administrar y actualizar un software antivirus
  
  Aunque un paquete de software antivirus actualizado no puede brindar protección contra todos los códigos maliciosos, para la mayoría de los usuarios representa la primera línea de defensa contra ataques de código malicioso.
  
  La mayoría de los distribuidores antivirus liberan frecuentemente información actualizada, herramientas, o bases de datos de virus para ayudar a detectar y recuperar un sistema que ha sido infectado mediante un código malicioso, incluyendo Beagle.K. De esta forma, es importante que los usuarios mantengan su software antivirus actualizado.
  
  Mucho software antivirus se apoya en las actualizaciones automáticas de las definiciones de virus. El CERT/UNAM-CERT recomienda utilizar estas actualizaciones automáticas cuando estén disponibles.
  
  
• No ejecutar programas de origen desconocido
  
  Nunca descargue, instale o ejecute un programa a menos que sepa que es autorizado por una persona o compañía en la que se confía. Los usuarios de correo electrónico deben estar concientes de archivos adjuntos inesperados, mientras que los usuarios de Internet Relay Chat (IRC), de la mensajería instantánea (IM), y de servicios de compartición de archivos deben ser muy cuidadosos al dar clic en vínculos o links desconocidos o al ejecutar software enviado por otros usuarios debido a que son los métodos más utilizados entre los intrusos para intentar crear redes de agentes DDoS.
  
  
• Eliminación Manual
  
  
  • Deshabilitar System Restore (Windows Me/XP).
    
    
    • Windows Me
      1. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control.
      2. Haga doble clic en Sistema. Se abrirá la ventana de Propiedades del sistema.
         Nota: Si no es visible el ícono de Sistema haga clic en "Ver todas las opciones de Panel de control".
      3. Haga clic en la pestaña Rendimiento y haga clic en el botón "Archivos de sistema". La ventana de Archivos de sistema se abrirá.
      4. Haga clic en Sistema de archivos y, a continuación, haga clic en la pestaña Solución de problemas.
      5. Marque la casílla de la opción Deshabilitar Restaurar sistema.
      6. Haga clic en Aceptar y, por último, en Cerrar. Haga clic en Sí cuando se le pregunte si desea reiniciar Windows.
      
      
    • Windows XP
      1. Haga clic en Inicio.
      2. Haga clic con el botón secundario en el icono Mi PC y, a continuación, haga clic en Propiedades.
      3. Haga clic en la pestaña Restaurar sistema.
      4. Marque la casílla Desactivar Restaurar sistema o la casílla Desactivar Restaurar sistema en todas las unidades.
      5. Haga clic en Aplicar y a continuación, en Aceptar.
      6. Como verá en el mensaje, esta acción eliminará todos los puntos de restauración existentes. Haga clic en Sí para llevar a cabo esta acción.
      7. Haga clic en Aceptar y reinice el sistema.
    
    
    
  • Actualizar las definiciones de Antivirus.
    
    Independientemente del software antivirus que este utilizando, actualice su base de datos de firmas antivirus para poder eliminar el virus Beagle.K.
    
    
  • Eliminar los valores que fueron agregados al registro y reiniciar el equipo.
    
    
    1. Dar clic en Inicio y después en Ejecuta.
    2. Escribir regedit y presionar Aceptar.
    3. Buscar la siguiente clave:

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. En el panel de la derecha eliminar el siguiente valor:

       "MSInfo"="%Windir%\AVBgle.exe"

    5. Buscar la siguiente clave:

       HKEY_CURRENT_MACHINE\SYSTEM\CurrentControlSet\Services

    6. En el panel de la izquierda localizar y eliminar la subclave:

       NPF

    7. En el panel de la izquierda dar doble clic en la clave:

       HKEY_CURRENT_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

    8. Aín el panel de la izquierda localizar y eliminar la subclave:

       LEGACY_NPF

    9. Salir del editor del registro.
    10. Reiniciar el equipo.
    
    
    
  • Analizar el sistema mediante el software antivirus actualizado para eliminar los archivos infectados.
    
    
  
  
  

Apéndice A. Referencias

• Virus y Gusanos UNAM-CERT - http://www.unam-cert.unam.mx/gusanos/index.html
• Symantec - http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.o@mm.html
• Trend Micro - http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.O&VSect=T
• Panda Software - http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=45692
• Sophos http://www.sophos.com/virusinfo/analyses/w32netskyo.html
• Computer Associates - http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=38598
• F-Secure - http://www.f-secure.com/v-descs/netsky_o.shtml
• McAffe - http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101103