Netsky.C llega al equipo en un mensaje de correo electrónico
cuyo asunto,
cuerpo y fichero adjunto son escogidos a partir de una extensa lista de
opciones que pueden ser consultadas en la Enciclopedia de Virus de Panda
Software
<http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=4
5084>.
En caso de que el archivo adjunto sea ejecutado, Netsky.C genera copias de sí
mismo con el nombre WINLOGON.EXE en todas las unidades del equipo.
Para propagarse se envía por correo electrónico a todas las direcciones que
encuentre en ficheros con extensiones .eml, .txt, .php, .pl, .htm, .html, .vbs,
.rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, y
.dhtm que se encuentren almacenados en el equipo. Para ello, utiliza su propio
motor SMTP.
Por otra parte, el gusano se copia, utilizando una gran variedad de nombres
distintos en todas las carpetas que existan en el ordenador que contengan la
secuencia de letras "shar". De esta manera, puede propagarse utilizando
aplicaciones para compartir archivos como KaZaA.
Además, Netsky.C ha sido diseñado para producir una secuencia de sonidos muy
característica que puede escucharse a través del altavoz de los equipos
afectados entre las 06:00 y las 08:59 hrs. del día 26 de febrero.
Por último, el gusano introduce varias entradas en el
registro de Windows con el objetivo de asegurar su ejecución cada vez que se
reinicie el equipo. Al mismo tiempo, borra las que puedan existir como
consecuencia de la infección por otros códigos maliciosos como, por ejemplo,
Mydoom.A y Mimail.T.
|