En el equipo al que afecta, Nesky.V lleva a cabo varias acciones, entre las que destacan:
- La instalación de un troyano que escucha en los puertos TCP 5556 y 5557.
- Entre el 22 y el 28 de abril de 2004 -ambos días inclusive- realiza ataques de Denegación de Servicio (DoS) contra diversas páginas web.
- Busca direcciones de correo electrónico en ficheros con las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML. Posteriormente se envía a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
- Crea el mutex _-=oOOSOkOyONOeOtOo=-_ para evitar varias ejecuciones simultáneas.
Por su parte, la variante U de Netsky se difunde por e-mail en un mensaje escrito en inglés de características variables, que siempre incluye un fichero adjunto con extensión PIF. Este gusano instala un backdoor que escucha el puerto TCP 6789 y, como la variante anteriormente mencionada, se manda -utilizando su propio motor SMTP- a las direcciones que recopila en el equipo al que afecta. A su vez, Netsky.U genera un mutex para evitar varias ejecuciones simultáneas e intenta realizar, entre el 14 y el 23 de abril -ambos días inclusive-, ataques DoS contra diversas páginas web.
Finalizamos el informe de hoy con Hideout.A, programa que se ejecuta desde una línea de comandos. Permite realizar, sobre los servicios activos en ordenadores remotos, varias acciones, como el inventario de los que están ejecutándose, mostrar información de ellos o detenerlos.
|
Nesky.V se propaga a través del correo electrónico en un mensaje de características variables y escrito en inglés, que no incluye fichero adjunto, sino código HTML con un exploit ObjectData. La ejecución del referido código provoca la descarga de este gusano. 
