Netsup
Gusano cuya propagación se realiza mediante el envío masivo de correos a las direcciones incluidas en la libreta de contactos de Microsoft Outlook.
También puede propagarse a través de las redes de intercambio de ficheros de las aplicaciones Kazaa y Shareaza. Nombre completo: Worm.W32/Netsup@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Tamaño comprimido (bytes): 22016
Alias:W32.Netsup.A@mm (Symantec), W32/Netsup@mm (PerAntivirus), I.worm.netsup@mm (Kaspersky (viruslist.com)), Win32/Netsup.A (Enciclopedia Virus (Ontinent))
Detalles
Worm.W32/Netsup@P2P+MM puede llegar al sistema como un fichero anexo a un mensaje con las siguientes características:
De: Puede ser alguno de los siguientes:
NetworkSupport@-dominio del destinatario -
Una dirección obtenida de la libreta de contactos de Microsoft Outlook.
Asunto: Puede ser alguno de los siguientes:
Tragedy
Protecting your PC
This pic of you is funny
W32.Netsky and W32.Beagle protection
Finances for the week
Mail Delivery Subsystem Error
Careful
Undeliverable Message
Mail Delivery Failed
Cuerpo del mensaje:
A message sent could not be delivered to one or more of its recipients correctly.
This is a permanent error. Attached is a copy of the original message.
Fichero Anexo: message.eml.pif
Cuando Worm.W32/Netsup@P2P+MM es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo en %System%\msnmsgs.exe
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Valor: "msnmsgs" = "%System%\msnmsgs.exe"
Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones incluidas en la libreta de contactos de Outlook.
Se copia a sí mismo en los directorios de intercambio de ficheros de las aplicaciones Kazaa y Shareaza con alguno de los siguientes nombres:
The Sims Family Alien Skins.exe
Britney Spears Dance Beat cheat.exe
The Sims Christina Aguilera Skin.exe
The Sims Britney Spears Skin.exe
BitTorrent_Upload_Capper_DonaTellO.exe
MaxPayne 2 1.01 patch crack.exe
MSN_Messenger_6_Ad_Remover_fRankO.exe
CDRWin.v5.0.Keygen-ORiON.ShareReactor.exe
VMware-KEYGEN-workstation-4.0.0-4460.exe
Winzip_password_cracker.Nero_4_Ultra_Keygen_deviance.exe
winrar.3.2x.dosrar.3.2x.crack-tsrh.exe
Adobe_Photoshop_7_keygen_Dimitri.exe
Opera_v7.20 crack.exe
NwN_v161_NoCD_patch-unpatch.exe
flashfxp.2.1.build.824.crack-tsrh.exe
Nombres de Ficheros Adjuntos (virus que llegan por correo)
message.eml.pif
Asunto del mensaje (virus que llegan por correo)
Mail Delivery Failed
Undeliverable Message
Mail Delivery Subsystem Error
Careful
W32.Netsky and W32.Beagle protection
Finances for the week
This pic of you is funny
Protecting your PC
Tragedy
Solución
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección.
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano se ejecute automáticamente cada vez que el sistema es reiniciado, elimine el valor indicado de la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Valor: "msnmsgs" = "%System%\msnmsgs.exe"
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla
