Nombre: Win32.Netsky.D@mm
Alias: W32/Netsky.d@MM
Tipo: Ejecutable Gusano Mensajero Masivo
Tamaño: 17424 bytes (empaquetado)
Descubierto: 01.03.2004
Detectado: 01.03.2004
Propagación: Baja
Peligrosidad: Baja
In The Wild: Sí

Síntomas:
Presencia del siguiente fichero en la carpeta Windows (%WINDIR%)
"winlogon.exe"

Presencia de la siguiente entrada en la clave del registro "HKLM\Software\Microsoft\Windows\CurrentVersion\Run":
"ICQ Net" = "winlogon.exe -stealth"

Descripción técnica:
Esta versión del gusano NetSky (.D) se propaga solamente por correo electrónico (a diferencia de las previas versiones, que se propagaban también mediante algunas aplicaciones P2P), enviándose a las direcciones de correo encontradas en el ordenador infectado.

El gusano llega por correo en el siguiente formato:

Asunto - elegido al azar del siguiente listado:
"Re: Re: Document"
"Re: Re: Thanks!"
"Re: Thanks!"
"Re: Your document"
"Re: Here is the document"
"Re: Your picture"
"Re: Re: Message"
"Re: Hi"
"Re: Hello"
"Re: Re: Re: Your document"
"Re: Here"
"Re: Your music"
"Re: Your software"
"Re: Approved"
"Re: Details"
"Re: Excel file"
"Re: Word file"
"Re: My details"
"Re: Your details"
"Re: Your bill"
"Re: Your text"
"Re: Your archive"
"Re: Your letter"
"Re: Your product"
"Re: Your website"

Cuerpo de texto - elegido al azar del siguiente listado:
"Your document is attached."
"Here is the file."
"See the attached file for details."
"Please have a look at the attached file."
"Please read the attached file."
"Your file is attached."

Nombre del adjunto (y extensión) - elegidos al azar del siguiente listado:
"your_document.pif"
"your_document.pif"
"document.pif"
"message_part2.pif"
"your_document.pif"
"document_full.pif"
"your_picture.pif"
"message_details.pif"
"your_file.pif"
"your_picture.pif"
"document_4351.pif"
"yours.pif"
"mp3music.pif"
"application.pif"
"all_document.pif"
"my_details.pif"
"document_excel.pif"
"document_word.pif"
"my_details.pif"
"your_details.pif"
"your_bill.pif"
"your_text.pif"
"your_archive.pif"
"your_letter.pif"
"your_product.pif"
"your_website.pif"

Cuando el usuario ejecuta el adjunto del mensaje de correo, el gusano realiza las siguientes acciones:

- se copia a si mismo en la carpeta Windows (%WINDIR%) con el nombre "winlogon.exe";

- agrega la siguiente entrada a la clave del registro "HKLM\Software\Microsoft\Windows\CurrentVersion\Run":
"ICQ net" = "winlogon.exe -stealth" (para que se ejecute con cada inicio de Windows);

- desactiva algunos programas antivirus y otros gusanos conocidos (tales como Win32.Mydoom.A@mm y Win32.Mydoom.B@mm) tras eliminar del registro las claves relevantes ;

- busca direcciones de correo en el ordenador infectado en los ficheros cuyas extensiones aparecen en el siguiente listado:
".eml"
".txt"
".php"
".pl"
".htm"
".html"
".vbs"
".rtf"
".uin"
".asp"
".wab"
".doc"
".adb"
".tbb"
".dbx"
".sht"
".oft"
".msg"
".shtm"
".cgi"
".dhtm"

- crea y envía mensajes de correo a estas direcciones con el formato anteriormente descrito:

- El 01 de marzo del 2004, entre las 6:00 y las 9:00 am (hora local, no GMT) el gusano genera en el altavos interno del PC sonidos con tonos y duraciones variables.

Esta versión (.D) utiliza una rutina superior para enviarse por correo, permitiendo que se envíe varias veces en un tiempo mas corto que sus previas versiones (.A - .C).

El virus evita enviarse a las direcciones de correo que incluyen por lo menos una de las siguientes series de caracteres:
"icrosoft"
"antivi"
"ymantec"
"spam"
"avp"
"f-secur"
"itdefender"
"orman"
"cafee"
"aspersky"
"f-pro"
"orton"
"fbi"
"abuse"
"messagelabs"
"skynet"