Nombre: Win32.NetSky.T
Alias: NetSky
Tipo: Ejecutable Backdoor Mensajero Masivo
Tamaño: 18.432 bytes (empaquetado y modificado con UPX), ~50K desempaquetado
Descubierto: 06.04.2004
Detectado: 06.04.2004
Propagación: Media
Peligrosidad: Media
In The Wild: Información no disponible

Síntomas:
La presencia del fichero AntiAv.exe en la carpeta Windows.
La presencia de la clave "EasyAV", apuntando a "%Windir%\EasyAV.exe", en la clave del registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
La presencia de dos procesos idénticos en el listado del Administrador de tareas; ninguno de los dos puede ser finalizado de modo normal.

Descripción técnica:
Esta es la primera versión del gusano NetSky que incluye un backdoor; un texto (encriptado y comprimido) en el cuerpo del gusano anuncia:

"Now we have programmed our backdoor, it cannot be used for spam relaying,only for Skynet distribution, our advice: educate the users or update the smtp protocol, and heuristics cannot detect Skynet, becauses numerous scambler, compressors, and protectors exists including programming new features.

Thanks to russia, and thanks to CCC for support.

09:34 A.M, Russia"

El backdoor escucha en el puerto 6789; si el atacador envía un fichero ejecutable, el gusano lo descarga automáticamente y lo ejecuta.

Entre los días 14-23.04.2004, el gusano empieza un ataque Denial-Of-Service en varios sitios web(www.keygen.us, www.freemule.net, www.kazaa.com, www.emule.de, www.cracks.am).