Nombre: Win32.Netsky.Q@mm
Alias: W32/Netsky-Q
Tipo: Ejecutable Gusano Mensajero Masivo
Tamaño: 28008 bytes
Descubierto: 29.03.2004
Detectado: 29.03.2004
Propagación: Media
Peligrosidad: Baja
In The Wild: Sí

Síntomas:

- la presencia de los siguientes ficheros en la carpeta Windows (%WINDIR%):
SysMonXP.exe
Firewalllogger.txt
- la presencia de la siguiente entrada:
SysMonXP = %WINDIR%\SysMonXP.exe
en la clave del registro HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Descripción técnica:
El gusano se propaga como archivo adjunto a un mensaje de correo enviado a todas las direcciones encontradas en el ordenador infectado.

Se copia a sí mismo en la carpeta Windows como SysMonXP.exe y crea en la misma ubicación una componente DLL: Firewalllogger.txt. Luego modifica la siguiente clave del registro para ejecutarse con cada inicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SysMonXP =%WINDIR%\SysMonXP.exe

Cuando se ejecuta de otro fichero que no sea %WINDIR%\SysMonXP.exe (generalmente se ejecuta así la primera vez, cuando el usuario hace clic en el adjunto infectado con este gusano), el virus abre un Bloc de Notas con el parámetro temp.eml.

El virus busca direcciones de correo en los ficheros con las siguientes extensiones:
ADB
ASP
CFG
CGI
DBX
DHTM
DOC
EML
HTM
HTML
JSP
MBX
MDX
MHT
MSG
NCH
NMF
ODS
OFT
PHP
PL
PPT
RTF
SHT
SHTM
STM
TBB
TXT
UIN
VBS
WAB
WSH
XLS
XML

El 30/03/2004 el gusano genera en el altavoz interno del PC sonidos con distintos tonos y duraciones.