Nombre: W32/Netsky.Z Tipo: Gusano de Internet
Alias: Netsky.Z, W32/Netsky.Z.worm, W32/Netsky.gen@MM, Win32/Bagle.Variant.Worm, W32/Netsky.gen@MM, W32/Netsky.Z.worm, W32/Netsky-Z, I-Worm.NetSky.z, Win32.HLLM.Netsky.based, Win32/Netsky.Z, W32/NetSky.Z@mm Fecha: 21/abr/04
Plataforma: Windows 32-bit
Tamaño: 22,016 bytes Variante del gusano Netsky.X reportada el 21 de abril de 2004.

No posee ninguna carga destructiva en la máquina infectada, y solo se propaga por correo electrónico. Esta versión tampoco se propaga por redes P2P, ni intenta desinstalar a ningún otro gusano, como variantes anteriores.

Los mensajes tienen estas características:
Asunto: [uno de los siguientes]
Important
Document
Hello
Information
Hi

Texto del mensaje: [uno de los siguientes]
Important details!
Important notice!
Important document!
Important bill!
Important data!
Important!
Important textfile!
Important informations!

Datos adjuntos: [uno de los siguientes]
details.zip notice.zip
important.zip
bill.zip
data.zip
part-2.zip
textfile.zip
informations.zip

Los archivos .ZIP contienen el ejecutable del gusano con alguno de los siguientes nombres:
informations.txt [espacios vacíos] .exe
textfile.txt [espacios vacíos] .exe
part-2.txt [espacios vacíos] .exe
data.txt [espacios vacíos] .exe
bill.txt [espacios vacíos] .exe
important.txt [espacios vacíos] .exe
notice.txt [espacios vacíos] .exe
details.txt [espacios vacíos] .exe

La infección se produce cuando el usuario abre el adjunto y hace doble clic sobre su contenido.

Instala un troyano de acceso remoto por puerta trasera (backdoor), que abre el puerto TCP/665 para recibir diversos comandos. Así, un usuario remoto puede descargar archivos desde Internet en el equipo infectado.

El gusano utiliza su propio motor SMTP para enviar sus mensajes. Finalmente, si la fecha del equipo es cualquiera entre los días 2 y el 5 de mayo de 2004, el gusano es capaz de ejecutar ataques de denegación de servicios (DoS) contra los siguientes sitios: www.educa.ch
www.medinfo.ufl.edu
www.nibis.de

Información adicional
Antivirus. Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos (F8, al instante que reinicia su equipo)
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\jammer2nd.exe
c:\windows\*.log
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Jammer2nd
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).