Alarma en Internet por un nuevo virus de nombre netsky.b

El gusano que se instala en la memoria se propaga a través de un envío masivo de correo electrónico utilizando el protocolo SMTP (protocolo de correo simple) y además pasa al sistema como un archivo ejecutable con doble extensión usando un icono de MS World", dice el comunicado.

"Tras la ejecución, el archivo se propaga a la carpeta de direcciones", añadió.

La dimensión del mensaje infectado es de 22.0 Kb.

Por segundo día consecutivo un nuevo gusano de propagación masiva vuelve a ocupar el protagonismo de nuestra información. Se trata de la variante B del gusano Netsky, bautizado como Netsky.B que basa su propagación en el correo electrónico y las redes de intercambio de archivos y que en estos momentos ya ha infectado a múltiples usuarios.

Este virus se propaga a través del correo electrónico y todas las unidades disponibles del sistema infectado (desde la C: hasta la Z:), lo que incluye las unidades de red a las que tenga acceso. Se envía a si mismo a las direcciones que encuentra en el sistema de la víctima y se copia con atractivos nombres en las carpetas que contengan las palabras "share" o "sharing" de cualquiera de las unidades, con objeto de propiciar su distribución a través de aplicaciones P2P como KaZaA, eMule o similares.

Netsky.B se puede presentar en múltiples formas diferentes, lo que puede dificultar su identificación a simple vista. Para autoenviarse emplea su propio motor SMTP, falsificando el e-mail del remitente (con direcciones obtenidas del sistema del usuario rastreando entre archivos de diversas extensiones, como .html, .html, .php, .eml, .msg, txt, .wab o comprimido en un .zip). De esta forma la dirección no corresponderá al usuario realmente infectado desde cuyo sistema se está enviando el gusano.

La regla de oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente, contar con soluciones antivirus correctamente instaladas y puntualmente actualizadas. También resulta útil seguir los foros de seguridad o listas como "una-al-día", para estar al tanto de las últimas amenazas que nos pueden afectar.

El asunto del mensaje puede ser uno de los siguientes:
fake for hello hi immediately information it read something stolen unknown warning you

El cuerpo del mensaje es una frase corta en inglés elegida aleatoriamente entre más de 40 diferentes. De forma similar ocurre con el nombre del archivo adjunto, cuya extensión puede variar entre .doc, .htm, .rtf o .text, seguido de .com, .exe, .pif o .scr para lograr su ejecución.

El gusano se copia a si mismo en la carpeta %WinDir% (Windows) con el nombre de archivo "services.exe". Y se crea la siguiente clave del registro para asegurarse su ejecución cada vez que el usuario inicie el sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "service" = C:WINNTservices.exe -serv

El virus elimina las siguientes claves del registro provocando entre otros efectos la desactivación de los gusanos Mydoom.A y Mydoom.B en el caso de encontrarse en el sistema infectado:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Taskmon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Explorer
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Taskmon
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Explorer
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun KasperskyAv
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun system.