Netsky se posiciona como tercer virus más extendido de la historia en España. Su capacidad de mutación (ya llega a su versión "P") lo está convirtiendo en una lacra del correo electrónico que, con más de ochenta mil infecciones, supone alrededor del 5% sobre el total de detecciones reportadas durante el día.

Alerta-antivirus ha calificado a este gusano como de peligrosidad "alta", pues, aunque no destruya datos importantes del sistema, es capaz de propagarse con gran rapidez auto-replicándose a través de mensajes de correo infectados.

Asimismo, Alerta-antivirus (centro oficial español de información y alerta sobre virus) encumbró a la versión "D" hasta el tercer puesto de la lista de virus más infecciosos, seguido de Mydoom y Sobig respectivamente. Esta versión del virus fue detectada por primera vez el uno de marzo de 2004. A diferencia de las anteriores versiones, Netsky.D optimizó sus rutinas para aumentar en ocho veces su velocidad de propagación, que ya de por sí resultaba alarmante.

La versión "P" aprovecha una vulnerabilidad de Outlook Express que le permite ejecutarse con la simple previsualización del correo infectado. El mensaje modifica la Cabecera MIME del email, engañando al cliente de correo sobre la extensión del fichero y ejecutándola. Este fallo fue corregido por Microsoft hace ahora tres años.

Este problema puede ser evitado actualizando el cliente de correo, o utilizando alternativas no vulnerables. Como siempre, cabe recordar la necesidad de equipar los sistemas con programas antivirus actualizados, e implementar unas políticas de seguridad adecuadas que filtren los correos con adjuntos que posean extensiones potencialmente peligrosas.

Por si no fuera suficiente el daño que ya causa este persistente y altamente mutable virus, sus nuevas versiones vienen equipadas con una característica que las diferencia de las dieciocho anteriores. Implementan puertas traseras destinadas a que cualquier atacante pueda tener acceso al sistema infectado y controlarlo remotamente.

Parece que nuevos programadores han tomado el código fuente del desgraciadamente popular NetSky y le han añadido funcionalidades de puerta trasera. En concreto, las versiones S, T y U, todas ellas aparecidas durante la semana pasada, abren el puerto TCP 6789 a los ordenadores infectados, permitiendo la ejecución de código arbitrario a la persona que se conecte. Una vez tomado el control, el atacante puede utilizar el sistema como reenviador de correo basura, o como "sistema zombie" que oculte su verdadera identidad a la hora de realizar ataques a terceros.

Varios analistas piensan que nuevos programadores han tomado el código fuente de NetSky, disponbible en multitud de páginas web, y aprovechando su masiva popularidad, le han añadido esta nueva opción destructiva, con la finalidad de reclutar sistemas que puedan controlar y utilizarlos para fines propios.

Esto mismo ya se hizo con el gusano Bagle, que también añadía una puerta trasera a sus víctimas. Además rompe con la tendencia de otras variantes que, por ejemplo, atacaban páginas web como kazaa.com, e-mule-project.net o edonkey2000.com. intentando saturar sus servicios.

Asimismo otras variantes estaban destinadas a desinfectar otros virus a los que consideraban "competencia" (MyDoom, Bagle...), con lo que se creó una pequeña guerrilla entre los creadores de virus.

Más información y referencias:

Newest NetSky Worms More Dangerous
http://www.crn.com/sections/BreakingNews/dailyarchives.asp?ArticleID=49288

Bagle, MyDoom and NetSky virus authors at war
http://itvibe.com/default.aspx?NewsID=2372

W32/Netsky.Q. Puede ejecutarse sin abrir el mensaje
http://www.vsantivirus.com/netsky-q.htm

Centro de Alerta Temprana Virus
http://www.alerta-antivirus.es/