publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Nachi.B

Virus Nachi.B

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación media Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Nachi.B realiza las siguientes acciones:

  • Desinstala los gusanos Mydoom.A y Mydoom.B.
  • Se borra a sí mismo cuando la fecha del sistema es 1 de junio de 2004 o posterior.
  • Provoca un aumento del tráfico de red por los puertos TCP 80, 135, 139 y 445, en su intento de explotar diferentes vulnerabilidades.
  • Descarga un parche de seguridad de una de las siguientes direcciones, dependiendo del lenguaje del sistema operativo, y después reinicia el ordenador:

    http:// download.microsoft.com/ download/ 4/ d/ 3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/ WindowsXP-KB828035-x86-CHS.exe
    http:// download.microsoft.com/ download/ a/ 4/ 3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/ WindowsXP-KB828035-x86-KOR.exe
    http:// download.microsoft.com/ download/ e/ a/ e/ eaea4109-0870-4dd3-88e0-a34035dc181a/ WindowsXP-KB828035-x86-ENU.exe
    http:// download.microsoft.com/ download/ 9/ c/ 5/ 9c579720-63e9-478a-bdcb-70087ccad56c/ Windows2000-KB828749-x86-CHS.exe
    http:// download.microsoft.com/ download/ 0/ 8/ 4/ 084be8b7-e000-4847-979c-c26de0929513/ Windows2000-KB828749-x86-KOR.exe
    http:// download.microsoft.com/ download/ 3/ c/ 6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/ Windows2000-KB828749-x86-ENU.exe
  • Si el lenguaje del sistema operativo es el japonés, Nachi.B busca en los directorios de ayuda y en los directorios raíz virtuales archivos con extensión ASP, HTM, HTML, PHP, CGI, STM o SHTML, y los sobrescribe con un archivo que presenta la siguiente apariencia cuando es ejecutado:

  • Además, Nachi.B se registra a sí mismo como un servicio de Windows. El nombre de este servicio está compuesto de palabras de las siguientes listas:
    Lista 1: Internet, License, Network, Performance, Remote, Routing, Security, System.
    Lista 2: Accounts, Event, Logging, Manager, Procedure.
    Lista 3: Client, Messaging, Provider, Sharing.

Metodo de infección:

Nachi.B crea el archivo SVCHOST.EXE en la subcarpeta DRIVERS del directorio de sistema de Windows. Este archivo es una copia del gusano.

Nachi.B modifica el archivo HOSTS, sobrescribiéndolo con el siguiente texto:
#
#
127.0.0.1 localhost

Nachi.B borra los siguientes archivos del directorio de sistema de Windows, si existieran:

  • TASKMON.EXE y SHIMGAPI.DLL, que pertenecen a Mydoom.A.
  • EXPLORER.EXE y CTFMON.DLL, que pertenecen a Mydoom.B.

 

Nachi.B modifica las siguientes entradas del Registro de Windows:

  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    (Default) = %sysdir%\ SHIMGAPI.DLL
    donde %sysdir%es el directorio de sistema de Windows.
    Este valor corresponde a la variante A de Mydoom.
    Modifica esta entrada por:
    HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    (Default) = %sysdir%\ webcheck.dll
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    (Default) = %sysdir%\ CTFMON.DLL
    Este valor corresponde a la variante B de Mydoom.
    Modifica esta entrada por:
    HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    (Default) = %sysdir%\ webcheck.dll

Nachi.B borra las siguientes entradas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon = %sysdir%\ Taskmon.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Taskmon = %sysdir%\ Taskmon.exe
    Estas entradas ya habían sido previamente creadas por Mydoom.A.

Nota: Nachi.B sólo modifica o borra dichas entradas si han sido previamente modificadas o creadas en el ordenador afectado por Mydoom.A o Mydoom.B.

Metodo de propagación:

Nachi.B se propaga a través de Internet, realizando el siguiente proceso:

  • Comprueba si hay una conexión a Internet disponible, intentando acceder a las siguientes páginas web:
    google.com
    intel.com
    microsoft.com
  • Escanea direcciones IP.
  • Intenta conectarse a dichas direcciones IP a través de los puertos TCP 80, 135, 139 y 445.
  • Si lo consigue, comprueba si el ordenador remoto presenta alguna de las siguientes vulnerabilidades: RPC DCOM (puerto 135), WebDAV (puerto 80) o Servicio Workstation (puerto 139 y 445).
  • Si el ordenador remoto es vulnerable, Nachi.B emplea su propio servidor web para descargar y ejecutar el archivo WKSPATCH.EXE, que contiene el código del gusano.

Otros detalles:

Nachi.B tiene un tamaño de 12800 Bytes y está comprimido con UPX.

Nachi.B crea un mutex llamado WksPatch_Mutex para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería de Navidad

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Callejero

 

Cine

 

Dibujos para colorear

Dietas

 

Glosario

 

Horóscopo
Desarrolado por Hispanetwork