Virus Nachi.A

Efectos:

Nachi.A realiza las siguientes acciones:

• Es capaz de desinstalar el gusano Blaster, finalizando el proceso y borrando el fichero del gusano.
• Provoca un aumento del tráfico de red por los puertos TCP 135 y 707, y UDP 69.
• El gusano se borra así mismo cuando la fecha del sistema coincida con el año 2004.
• Analiza la versión del sistema operativo y descarga los parches de seguridad para la vulnerabilidad RPC DCOM de una de las siguientes URLs:
  
  http:// download.microsoft.com/ download/ 6/ 9/ 5/ 6957d785 - fb7a - 4ac9 - b1e6 -cb99b62f9f2a/ Windows2000 - KB823980 - x86 - KOR.exe
  
  http:// download.microsoft.com/ download/ 5/ 8/ f/ 58fa7161 - 8db3 - 4af4 - b576 -0a56b0a9d8e6/ Windows2000 - KB823980 - x86 - CHT.exe
  
  http:// download.microsoft.com/ download/ 2/ 8/ 1/ 281c0df6 - 772b - 42b0 - 9125 -6858b759e977/ Windows2000 - KB823980 - x86 - CHS.exe
  
  http:// download.microsoft.com/ download/ 0/ 1/ f/ 01fdd40f - efc5 - 433d - 8ad2 -b4b9d42049d5/ Windows2000 - KB823980 - x86 - ENU.exe
  
  http:// download.microsoft.com/ download/ e/ 3/ 1/ e31b9d29 - f650 - 4078 - 8a76 -3e81eb4554f6/ WindowsXP - KB823980 - x86 - KOR.exe
  
  http:// download.microsoft.com/ download/ 2/ 3/ 6/ 236eaaa3 - 380b - 4507 - 9ac2 -6cec324b3ce8/ WindowsXP - KB823980 - x86 - CHT.exe<<br />
  http:// download.microsoft.com/ download/ a/ a/ 5/ aa56d061 - 3a38 - 44af - 8d48 -85e42de9d2c0/ WindowsXP - KB823980 - x86 - CHS.exe
  
  http:// download.microsoft.com/ download/ 9/ 8/ b/ 98bcfad8 - afbc - 458f - aaee -b7a52a983f01/ WindowsXP - KB823980 - x86 - ENU.exe
• Aumenta el tráfico de red en los puertos TCP 135 y 707, y UDP 69.

Metodo de infección:

Nachi.A crea los siguientes ficheros en la carpeta WINS dentro del directorio de sistema de Windows:

• DLLHOST.EXE. Este fichero contiene el código del gusano.
• SVCHOST.EXE. Este fichero es una copia del fichero de Windows TFTPD.EXE, y es ejecutado como el servicio Network Connections Sharing para ocultar el uso que hace del cliente TFTP.

Nachi.A crea las siguientes entradas en el Registro de Windows:

• HKLM \ SYSTEM\ CurrentControlSet\ Services\ RpcPatch = “DLLHOST.EXE”
• HKLM \ SYSTEM\ CurrentControlSet\ Services\ RpcTftpd = “SVCHOST.EXE”
  De esta manera, consigue ejecutarse cada vez que se inicie Windows.

Nachi.A realiza el siguiente proceso de infección:

• El gusano crea un mutex llamado RPC_Patch_Mutex para comprobar que se encuentra activo. Nachi.A verifica que la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.

• Nachi.A intenta aprovechar en la máquina remota la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC.
• Si lo consigue, Nachi.A lanza una sesión remota y obliga al ordenador atacado a realizar una conexión desde el puerto TCP 707 de la máquina atacada al puerto UDP 69 de la máquina atacante.
• Cuando se establece dicha conexión, el ordenador atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
• Una vez finalizada la descarga, procede a la ejecución remota del fichero enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.

Metodo de propagación:

Nachi.A se propaga mediante el ataque de maquinas remotas. Nachi.A intenta aprovechar una de las siguientes vulnerabilidades: Desbordamiento de búffer en interfaz RPC o WebDAV. En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor TFTP.

Otros detalles:

Nachi.A ha sido programado en el lenguaje de programación Visual C++, en su versión 6.0. Este gusano tiene un tamaño de 10.240 Bytes cuando se encuentra comprimido mediante UPX, y de  aproximadamente 31 KBytes cuando está descomprimido.

Contiene varias cadenas de texto en su interior, aunque no son mostradas en ningún momento:

===========I love my wife & baby :)~~~  Welcome Chian~~~  Notice:  2004 will remove myself:)~~ sorry zhongli~~~===========