|
Netsky.V se descarga de equipos a los que ha infectado previamente |
||
|
|
||
|
Por: Panda Software |
 Enviar a
un amigo |
Imprimir página |
|
Nesky.V se propaga a través del correo electrónico en un mensaje de características variables y escrito en inglés, que no incluye fichero adjunto, sino código HTML con un exploit ObjectData. La ejecución del referido código provoca la descarga de este gusano.
En el equipo al que afecta, Nesky.V lleva a cabo varias acciones, entre las que destacan:
-
La instalación de un troyano que escucha en los puertos TCP: 5556, donde sitúa un servicio de FTP, y 5557 con un servicio HTTP, de esta forma los ordenadores se convierten en servidores desde los que puede descargarse.
-
Entre el 22 y el 28 de abril de 2004 -ambos días inclusive- realiza ataques de Denegación de Servicio (DoS) contra diversas páginas web.
-
Busca direcciones de correo electrónico en ficheros con las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML. Posteriormente se envía a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
-
Crea el mutex _-=oOOSOkOyONOeOtOo=-_ para evitar varias ejecuciones simultáneas.
"ObjectData" de Internet Explorer (que permite ejecutar código arbitrario de forma remota y transparente, y sin que el usuario lleve a cabo ninguna acción). Cuando se visualiza el mensaje enviado por Netsky.V, el sistema se conecta a otro de los ordenadores infectados (mediante los puertos mencionados más arriba) para descargar una página HTML. Esta página, a su vez, descargará por FTP el fichero con el gusano y lo ejecutará, produciendo así la infección del equipo.
Más información sobre la vulnerabilidad de la que se aprovecha Netsky.V y que fue corregida por Microsoft en una actualización de octubre de 2003:
http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx
Por su parte, la variante U de Netsky se difunde por e-mail en un mensaje escrito en inglés de características variables, que siempre incluye un fichero adjunto con extensión PIF. Este gusano instala un backdoor que escucha el puerto TCP 6789 y, como la variante anteriormente mencionada, se manda -utilizando su propio motor SMTP- a las direcciones que recopila en el equipo al que afecta. A su vez, Netsky.U genera un mutex para evitar varias ejecuciones simultáneas e intenta realizar, entre el 14 y el 23 de abril -ambos días inclusive-, ataques DoS contra diversas páginas web.
"Exploit": técnica o programa que aprovecha un fallo o hueco de seguridad -una vulnerabilidad- existente en un determinado protocolo de comunicaciones, sistema operativo, o herramienta informática.
"Herramienta de hacking": programa que puede ser utilizado por un hacker para causar perjuicios a los usuarios de un ordenador (obtención de información confidencial, chequeo de puertos de comunicaciones, etc.).
Se recomienda a los usuarios que mantengan sus sistemas actualizados mediante el servicio automático Windows Update (http://windowsupdate.microsoft.com).
16 de abril de 2004
