Descripcion
Gusano cuya propagación se realiza mediante el envío masivo de correo electrónico a direcciones contenidas en el sistema infectado. Las características del mensaje son variables, aunque siempre en inglés. Para el envío, utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa. También puede propagarse a través de redes de intercambio de ficheros (P2P).
Detalles técnicos
Peligrosidad: 2 - Baja
[Explicación de los criterios]
Difusión: Baja
Daño: Medio
Dispersibilidad: Alta
Fecha de alta: 22/03/2004
Última actualización: 29/09/2008
Nombre completo del virus: Worm.W32/Netsky.P@MM +P2P
Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado. + P2P Se difunde por redes de compartición de ficheros P2P (peer to peer).
Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Tamaño (bytes): 29.568
Peligrosidad: 2 - Baja
[Explicación de los criterios]
Difusión: Baja
Daño: Medio
Dispersibilidad: Alta
Fecha de alta: 22/03/2004
Última actualización: 29/09/2008
Nombre completo del virus: Worm.W32/Netsky.P@MM +P2P
Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado. + P2P Se difunde por redes de compartición de ficheros P2P (peer to peer).
Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Tamaño (bytes): 29.568
Alias:
HTML_NETSKY.P (Trend Micro)
WORM_NETSKY.P (Trend Micro)
W32/Netsky-P (Sophos)
W32/Netsky.P.worm (Panda Security)
W32/Netsky.eml!dam (McAfee)
W32/Netsky.p.eml!exe (McAfee)
W32/Netsky.p@M (McAfee)
W32/Netsky.p@MM (McAfee)
W32/Netsky.p@MMi (McAfee)
W32/Netsky.p@MM!zip (McAfee)
http://www.symantec.com/avcenter/venc/data/w32.netsky.p@mm.html
W32.Netsky.P@mm (Symantec)
Worm.SomeFool.P (ClamAV)
NetSky.P (F-Secure)
Email-Worm.Win32.NetSky.q (F-Secure)
Win32.Netsky.P (Computer Associates)
Win32/Netsky.P (Computer Associates)
W32/Netsky.P@mm) (Computer Associates)
Win32:Netsky-AF (Otros)
W32/NetskyP-Dam (Otros)
http://www.bitdefender-es.com/bd/site/virusinfo.php?menu_id=1&v_id=237
Netsky.P@mm (Norman)
I-Worm.NetSky.p (Kaspersky)
Win32.Netsky.p (E-safe Aladdin)
http://www.perantivirus.com/sosvirus/virufamo/netskyp.htm
Win32/Netsky.Q (ESET)
Worm/Netsky.HB (AVIRA)
Win32.HLLM.Netsky.35328 (Doctor Web)
HTML_NETSKY.P (Trend Micro)
WORM_NETSKY.P (Trend Micro)
W32/Netsky-P (Sophos)
W32/Netsky.P.worm (Panda Security)
W32/Netsky.eml!dam (McAfee)
W32/Netsky.p.eml!exe (McAfee)
W32/Netsky.p@M (McAfee)
W32/Netsky.p@MM (McAfee)
W32/Netsky.p@MMi (McAfee)
W32/Netsky.p@MM!zip (McAfee)
http://www.symantec.com/avcenter/venc/data/w32.netsky.p@mm.html
W32.Netsky.P@mm (Symantec)
Worm.SomeFool.P (ClamAV)
NetSky.P (F-Secure)
Email-Worm.Win32.NetSky.q (F-Secure)
Win32.Netsky.P (Computer Associates)
Win32/Netsky.P (Computer Associates)
W32/Netsky.P@mm) (Computer Associates)
Win32:Netsky-AF (Otros)
W32/NetskyP-Dam (Otros)
http://www.bitdefender-es.com/bd/site/virusinfo.php?menu_id=1&v_id=237
Netsky.P@mm (Norman)
I-Worm.NetSky.p (Kaspersky)
Win32.Netsky.p (E-safe Aladdin)
http://www.perantivirus.com/sosvirus/virufamo/netskyp.htm
Win32/Netsky.Q (ESET)
Worm/Netsky.HB (AVIRA)
Win32.HLLM.Netsky.35328 (Doctor Web)
Propagación
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Asunto: Alguno de los siguientes
Re: Mail Authentification
Re: Delivery Protection
Re: Secure delivery
Re: Protected Mail Delivery
Re: Protected Mail System
Re: Protected Mail Request
Re: Secure SMTP Message
Re: Extended Mail System
Re: Error
Re: Message Error
Re: Administration
Re: Test
Re: Thank you for delivery
Re: Failure
Re: Bad Request
Re: Delivery Server
Re: Mail Server
Re: SMTP Server
Re: Notify
Re: Status
Re: Extended Mail
Re: Encrypted Mail
Adjunto: Alguno de los mostrados a continuación
your_document
game_xxo
websites03
document05
Redes de Compartición de Ficheros P2P
Se difunde por redes de compartición de ficheros P2P (peer to peer).
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Asunto: Alguno de los siguientes
Re: Mail Authentification
Re: Delivery Protection
Re: Secure delivery
Re: Protected Mail Delivery
Re: Protected Mail System
Re: Protected Mail Request
Re: Secure SMTP Message
Re: Extended Mail System
Re: Error
Re: Message Error
Re: Administration
Re: Test
Re: Thank you for delivery
Re: Failure
Re: Bad Request
Re: Delivery Server
Re: Mail Server
Re: SMTP Server
Re: Notify
Re: Status
Re: Extended Mail
Re: Encrypted Mail
Adjunto: Alguno de los mostrados a continuación
your_document
game_xxo
websites03
document05
Redes de Compartición de Ficheros P2P
Se difunde por redes de compartición de ficheros P2P (peer to peer).
Infección/Efectos
Cuando Netsky.P se ejecuta, realiza las siguientes acciones:
Otros detallesEste gusano utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.
Puede obtener mayor infomación sobre esta vulnerabilidad en el siguiente enlace: http://download.nai.com/products/mcafee-avert/stinger.exe?
Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:
Crea el mutex "_-oO]xX -S-k-y-N-e-t- Xx[Oo-_" para asegurarse de no ser ejecutado varias veces al mismo tiempo.
Se copia a sí mismo como %Windir%\FVProtect.exe . Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt ) y se replica en esa ubicación.
Deposita y ejecuta en el sistema, el fichero %Windir%\userconfig9x.dll (26.624 Bytes).
Crea los siguientes ficheros en ese mismo directorio %Windir% :
base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)
Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe"
Elimina los valores indicados de las siguientes claves del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores: Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Valores: system Video Clave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores: Explorer au.exe direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe
Elimina las siguientes subclaves del registro de Windows: Subclaves: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32
Realiza una búsqueda en todo el disco duro del sistema infectado. Si los nombres de directorio que encuentra, contienen alguna de las siguientes cadenas de caracteres:
shared files
kazaa
mule
donkey
morpheus
lime
bear
icq
shar
upload
http
htdocs
ftp
download
my shared folder el gusano se copia a sí mismo en esos directorios con alguno de los siguientes nombres:
Kazaa Lite 4.0 new.exe
Britney Spears Sexy archive.doc.exe
Kazaa new.exe
Britney Spears porn.jpg.exe
Harry Potter all e.book.doc.exe
Britney sex xxx.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney Spears blowjob.jpg.exe
Harry Potter e book.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter.doc.exe
Britney Spears fuck.jpg.exe
Harry Potter game.exe
Britney Spears.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Matrix.mpg.exe
Britney Spears Song text archive.doc.ex...
Britney Spears full album.mp3.exe
Eminem.mp3.exe
Britney Spears.mp3.exe
Eminem Song text archive.doc.exe
Eminem Sexy archive.doc.exe
Eminem full album.mp3.exe
Eminem Spears porn.jpg.exe
Ringtones.mp3.exe
Eminem sex xxx.jpg.exe
Ringtones.doc.exe
Eminem blowjob.jpg.exe
Altkins Diet.doc.exe
Eminem Poster.jpg.exe
American Idol.doc.exe
Cloning.doc.exe
Saddam Hussein.jpg.exe
Arnold Schwarzenegger.jpg.exe
Windows 2003 crack.exe
Windows XP crack.exe
Adobe Photoshop 10 crack.exe
Microsoft WinXP Crack full.exe
Teen Porn 15.jpg.pif
Adobe Premiere 10.exe
Adobe Photoshop 10 full.exe
Best Matrix Screensaver new.scr
Porno Screensaver britney.scr
Dark Angels new.pif
XXX hardcore pics.jpg.exe
Microsoft Office 2003 Crack best.exe
Serials edition.txt.exe
Screensaver2.scr
Full album all.mp3.pif
Ahead Nero 8.exe
netsky source code.scr
E-Book Archive2.rtf.exe
Doom 3 release 2.exe
How to hack new.doc.exe
Learn Programming 2004.doc.exe
WinXP eBook newest.doc.exe
Win Longhorn re.exe
Dictionary English 2004 - France.doc.ex...
RFC compilation.doc.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
Keygen 4 all new.exe
Windows 2000 Sourcecode.doc.exe
Norton Antivirus 2005 beta.exe
Gimp 1.8 Full with Key.exe
Partitionsmagic 10 beta.exe
Star Office 9.exe
Magix Video Deluxe 5 beta.exe
Clone DVD 6.exe
MS Service Pack 6.exe
ACDSee 10.exe
Visual Studio Net Crack all.exe
Cracks & Warez Archiv.exe
WinAmp 13 full.exe
DivX 8.0 final.exe
Opera 11.exe
Internet Explorer 9 setup.exe
Smashing the stack full.rtf.exe
Ulead Keygen 2004.exe
Lightwave 9 Update.exe
The Sims 4 beta.exe
Recopila direcciones de correo electrónico incluidas en ficheros con las siguientes extensiones localizados en las unidades desde la C: a la Z: .
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas anteriormente. El mensaje enviado tiene las siguientes caracterísitcas: Remitente: - falsificado - Asunto: algunas posibilidades se muestran a continuación:
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification Cuerpo del mensaje: algunas posibilidades se muestran a continuación:
Please see the attached file for details
Please read the attached file!
Your document is attached.
Please read the document.
Your file is attached.
Your document is attached.
Please confirm the document.
Please read the important document.
See the file.
Requested file.
Authentication required.
Your document is attached to this mail.
I have attached your document.
I have received your document. The corrected document is attached.
Your document.
Your details. Ficheros Anexos: algunas posibilidades se muestran a continuación:
document05
websites03
game_xxo
your_document seguido de una de las siguientes:
".txt "
".doc " seguido de una de las siguientes:
.exe
.pif
.scr
.zip Si la extensión del anexo es .exe , .scr o .pif , el anexo será una copia del gusano. En caso de que la extensión sea .zip , el anexo será un fichero comprimido que contiene un ejecutable del fichero. El nombre del fichero contenido en el .zip será uno de los siguientes:
"document.txt .exe"
"data.rtf .scr"
"details.txt .pif"
El gusano evita enviar el mensaje a direcciones de correo que contienen alguna de las siguientes cadenas de texto:
"@microsof"
"@antivi"
"@symantec"
"@spam"
"@avp"
"@f-secur"
"@bitdefender"
"@norman"
"@mcafee"
"@kaspersky"
"@f-pro"
"@norton"
"@fbi"
"abuse@"
"@messagel"
"@skynet"
"@pandasof"
"@freeav"
"@sophos"
"ntivir"
"@viruslis"
"noreply@"
"spam@"
"reports@"
Enlaces Asociados:
http://www.enciclopediavirus.com/virus/vervirus.php?id=785(Enciclopedia Virus)
Cuando Netsky.P se ejecuta, realiza las siguientes acciones:
Otros detallesEste gusano utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.
Puede obtener mayor infomación sobre esta vulnerabilidad en el siguiente enlace: http://download.nai.com/products/mcafee-avert/stinger.exe?
Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:
Crea el mutex "_-oO]xX -S-k-y-N-e-t- Xx[Oo-_" para asegurarse de no ser ejecutado varias veces al mismo tiempo.
Se copia a sí mismo como %Windir%\FVProtect.exe . Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt ) y se replica en esa ubicación.
Deposita y ejecuta en el sistema, el fichero %Windir%\userconfig9x.dll (26.624 Bytes).
Crea los siguientes ficheros en ese mismo directorio %Windir% :
base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)
Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe"
Elimina los valores indicados de las siguientes claves del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores: Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Valores: system Video Clave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores: Explorer au.exe direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe
Elimina las siguientes subclaves del registro de Windows: Subclaves: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32
Realiza una búsqueda en todo el disco duro del sistema infectado. Si los nombres de directorio que encuentra, contienen alguna de las siguientes cadenas de caracteres:
shared files
kazaa
mule
donkey
morpheus
lime
bear
icq
shar
upload
http
htdocs
ftp
download
my shared folder el gusano se copia a sí mismo en esos directorios con alguno de los siguientes nombres:
Kazaa Lite 4.0 new.exe
Britney Spears Sexy archive.doc.exe
Kazaa new.exe
Britney Spears porn.jpg.exe
Harry Potter all e.book.doc.exe
Britney sex xxx.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney Spears blowjob.jpg.exe
Harry Potter e book.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter.doc.exe
Britney Spears fuck.jpg.exe
Harry Potter game.exe
Britney Spears.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Matrix.mpg.exe
Britney Spears Song text archive.doc.ex...
Britney Spears full album.mp3.exe
Eminem.mp3.exe
Britney Spears.mp3.exe
Eminem Song text archive.doc.exe
Eminem Sexy archive.doc.exe
Eminem full album.mp3.exe
Eminem Spears porn.jpg.exe
Ringtones.mp3.exe
Eminem sex xxx.jpg.exe
Ringtones.doc.exe
Eminem blowjob.jpg.exe
Altkins Diet.doc.exe
Eminem Poster.jpg.exe
American Idol.doc.exe
Cloning.doc.exe
Saddam Hussein.jpg.exe
Arnold Schwarzenegger.jpg.exe
Windows 2003 crack.exe
Windows XP crack.exe
Adobe Photoshop 10 crack.exe
Microsoft WinXP Crack full.exe
Teen Porn 15.jpg.pif
Adobe Premiere 10.exe
Adobe Photoshop 10 full.exe
Best Matrix Screensaver new.scr
Porno Screensaver britney.scr
Dark Angels new.pif
XXX hardcore pics.jpg.exe
Microsoft Office 2003 Crack best.exe
Serials edition.txt.exe
Screensaver2.scr
Full album all.mp3.pif
Ahead Nero 8.exe
netsky source code.scr
E-Book Archive2.rtf.exe
Doom 3 release 2.exe
How to hack new.doc.exe
Learn Programming 2004.doc.exe
WinXP eBook newest.doc.exe
Win Longhorn re.exe
Dictionary English 2004 - France.doc.ex...
RFC compilation.doc.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
Keygen 4 all new.exe
Windows 2000 Sourcecode.doc.exe
Norton Antivirus 2005 beta.exe
Gimp 1.8 Full with Key.exe
Partitionsmagic 10 beta.exe
Star Office 9.exe
Magix Video Deluxe 5 beta.exe
Clone DVD 6.exe
MS Service Pack 6.exe
ACDSee 10.exe
Visual Studio Net Crack all.exe
Cracks & Warez Archiv.exe
WinAmp 13 full.exe
DivX 8.0 final.exe
Opera 11.exe
Internet Explorer 9 setup.exe
Smashing the stack full.rtf.exe
Ulead Keygen 2004.exe
Lightwave 9 Update.exe
The Sims 4 beta.exe
Recopila direcciones de correo electrónico incluidas en ficheros con las siguientes extensiones localizados en las unidades desde la C: a la Z: .
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas anteriormente. El mensaje enviado tiene las siguientes caracterísitcas: Remitente: - falsificado - Asunto: algunas posibilidades se muestran a continuación:
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification Cuerpo del mensaje: algunas posibilidades se muestran a continuación:
Please see the attached file for details
Please read the attached file!
Your document is attached.
Please read the document.
Your file is attached.
Your document is attached.
Please confirm the document.
Please read the important document.
See the file.
Requested file.
Authentication required.
Your document is attached to this mail.
I have attached your document.
I have received your document. The corrected document is attached.
Your document.
Your details. Ficheros Anexos: algunas posibilidades se muestran a continuación:
document05
websites03
game_xxo
your_document seguido de una de las siguientes:
".txt "
".doc " seguido de una de las siguientes:
.exe
.pif
.scr
.zip Si la extensión del anexo es .exe , .scr o .pif , el anexo será una copia del gusano. En caso de que la extensión sea .zip , el anexo será un fichero comprimido que contiene un ejecutable del fichero. El nombre del fichero contenido en el .zip será uno de los siguientes:
"document.txt .exe"
"data.rtf .scr"
"details.txt .pif"
El gusano evita enviar el mensaje a direcciones de correo que contienen alguna de las siguientes cadenas de texto:
"@microsof"
"@antivi"
"@symantec"
"@spam"
"@avp"
"@f-secur"
"@bitdefender"
"@norman"
"@mcafee"
"@kaspersky"
"@f-pro"
"@norton"
"@fbi"
"abuse@"
"@messagel"
"@skynet"
"@pandasof"
"@freeav"
"@sophos"
"ntivir"
"@viruslis"
"noreply@"
"spam@"
"reports@"
Enlaces Asociados:
http://www.enciclopediavirus.com/virus/vervirus.php?id=785(Enciclopedia Virus)
Contramedidas
Desinfección
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\base64.tmp
c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll
c:\windows\zip1.tmp
c:\windows\zip2.tmp
c:\windows\zip3.tmp
c:\windows\zipped.tmp
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano se ejecute automáticamente cada vez que el sistema sea reiniciado, elimine el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe"
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Adicionalmente, puede usar alguna de las siguientes herramientas gratuitas de desinfección automática de virus:
Bit Defender Antinetsky (58 KB) elimina todas las variantes de Netsky.
McAfee AVERT Stinger (734 KB)
Future Time Srl (NOD 32) (290 KB)
FxNetsky.exe (Symantec) (156 KB)
Desinfección
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\base64.tmp
c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll
c:\windows\zip1.tmp
c:\windows\zip2.tmp
c:\windows\zip3.tmp
c:\windows\zipped.tmp
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano se ejecute automáticamente cada vez que el sistema sea reiniciado, elimine el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe"
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Adicionalmente, puede usar alguna de las siguientes herramientas gratuitas de desinfección automática de virus:
Bit Defender Antinetsky (58 KB) elimina todas las variantes de Netsky.
McAfee AVERT Stinger (734 KB)
Future Time Srl (NOD 32) (290 KB)
FxNetsky.exe (Symantec) (156 KB)
0 comentarios: