Nestky fue una de las familias de gusanos informáticos más prolíficas de su época, su objetivo principal eran dispositivos donde estuvieran funcionando cualquier versión de un sistema operativo de Microsoft.

En el año 2004 este gusano represento en España el 80% de infecciones por virus.

Fueron muchas las variantes que se crearon de este virus, pero la primera que apareció fue atribuida a Sven Jaschan, un alemán de 18 años del cual ya hemos hablado en otros artículos porque también fue el autor del famoso gusano Sasser.

Una de las tantas curiosidades que lo hizo famoso fue, la inclusión en algunas líneas del código que formaban el malware comentarios ofensivos hacia los autores de otros dos peligrosos gusanos informáticos de la época, Bagle y MyDoom. Este enfrentamiento provocó un aumento constante de las variantes de estos tres virus haciendo que en junio de 2004 Netsky tuviera 29 variantes, MyDoom 10 y Bagle 28.

El principal método de infección que utilizaba el gusano era el correo electrónico. Tanto el asunto, como el título del adjunto y su contenido podían variar de un caso a otro, lo que si tenían en común todos es que los mensajes que incitaban a la víctima a abrir el correo estaban relacionados con errores de entrega, correos no entregado o mensajes no disponibles.

Una vez el virus había infectado a un dispositivo buscaba direcciones de correo electrónico en las unidades de disco duro y posibles unidades mapeadas de red desde la letra C: hasta la Z:, exceptuando las unidades de Cd-Rom, después se reenviaba a esas direcciones y creaba diferentes ficheros y claves de registro:

  • sysmonxp.exe: Archivo que utilizaba el virus como propia copia de seguridad
  • zipo0.txt, zipo1.txt, zipo2.txt y zipo3.txt: Archivos de texto donde se incluían copias de seguridad del gusano en formato zip.
  • base64.tmp: Archivo en formato MIME el cual contiene una copia de seguridad del gusano.
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  • SysMonXP = %windir%\ SysMonXP.exe: Esta clave de registro permitía a al malware ejecutarse cada vez que Windows se iniciaba.
  • HKLM\SYSTEM\CurrentControlSet\Services\NPF y HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF: Estas dos claves de registro son utilizadas por el virus para ejecutarse en el sistema como si fuera un servicio.

Los nombres de los ficheros adjuntos coincidían con alguno de los siguientes:

  • Data
  • Detals
  • Documents
  • Message
  • Msg
  • readme

Y las extensiones más utilizadas eran .doc.exe,.doc.pif, .scr, .txt.exe, .zip

El gusano poseía su propio motor SMTP y cuando enviaba el el correo electrónico hacia una consulta al servidor de nombres configurado en la conexión actual, evitando de esta manera cualquier dirección que contuviera alguna de estas cadenas:

  • @bitdefender
  • @f-secur
  • @microsoft
  • @norton
  • @pandasoft
  • @sophos

El reenvió de mensajes aprovechaba una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer anterior a la versión 6, que permitía la ejecución de archivos adjuntos con solo leer o visualizar los correos en el panel de vista previa.

El objetivo principal de este gusano era realizar ataques DDoS contra páginas web de intercambio de información P2P, www.emule-project.net, www.kazaa.com, www.edonkey2000.com estas serían algunos ejemplos de páginas web que sufrieron los ataques.

Otro efecto que provocaba el virus era la emisión de distintos pitidos aleatorios generados por el altavoz interno del ordenador cuando la fecha del sistema llegaba al día 30 de Marzo de 2004.

Empresas como ESET y McAfee lanzaron en sus páginas oficiales pequeñas herramientas que nos permitían limpiar por completo cualquier ordenador que estuviera infectado por el virus

Únete a @DerechodelaRed en Telegram