Virus Nachi.C

La Peligrosidad varía según el Daño y la Propagación


Peligrosidad			Propagación			Daño

Descripción

Detalles

Solución

Estadísticas

Efectos:

Nachi.C realiza las siguientes acciones:

Es capaz de desinstalar los gusanos Mydoom.A y Mydoom.B. Si quiere ver el proceso que realiza para borrar estos gusanos, pulse aquí.
Se borra a sí mismo cuando la fecha del sistema sea 1 de junio de 2004 o posterior.
Provoca un aumento del tráfico de red por los puertos TCP 80, 135 y 445, en su intento de explotar diferentes vulnerabilidades.
Descarga un parche de seguridad de una de las siguientes direcciones, dependiendo del lenguaje del sistema operativo, y después reinicia el ordenador:

http:// download.microsoft.com/ download/ 4/ d/ 3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/ WindowsXP-KB828035-x86-CHS.exe
http:// download.microsoft.com/ download/ a/ 4/ 3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/ WindowsXP-KB828035-x86-KOR.exe
http:// download.microsoft.com/ download/ e/ a/ e/ eaea4109-0870-4dd3-88e0-a34035dc181a/ WindowsXP-KB828035-x86-ENU.exe
http:// download.microsoft.com/ download/ 9/ c/ 5/ 9c579720-63e9-478a-bdcb-70087ccad56c/ Windows2000-KB828749-x86-CHS.exe
http:// download.microsoft.com/ download/ 0/ 8/ 4/ 084be8b7-e000-4847-979c-c26de0929513/ Windows2000-KB828749-x86-KOR.exe
http:// download.microsoft.com/ download/ 3/ c/ 6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/ Windows2000-KB828749-x86-ENU.exe

Adicionalmente, si el lenguaje del sistema operativo es el japonés, Nachi.C busca en los directorios de ayuda y en los directorios raíz virtuales ficheros con extensión ASP, HTM, HTML, PHP, CGI, STM o SHTML, y los sobrescribe con un fichero que presenta la siguiente apariencia cuando es ejecutado:

Metodo de infección:

Nachi.C crea el fichero SVCHOST.EXE en la subcarpeta DRIVERS del directorio de sistema de Windows. Este fichero es una copia del gusano.

Nachi.C realiza el siguiente proceso de infección:

El gusano crea un mutex llamado WksPathc_Mutex para comprobar que se encuentra activo.
Comprueba que haya disponible una conexión a Internet, intentando acceder a las siguientes páginas web: google.com, intel.com y microsoft.com.

Nachi.C intenta aprovechar en la máquina remota las vulnerabilidades conocidas como Desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento de buffer en servicio Workstation.
Si lo consigue, Nachi.C obliga al ordenador remoto a descargar una copia del gusano. Para ello, Nachi.C emplea su propio servidor web.
Una vez finalizada la descarga, procede a la ejecución remota del fichero enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.
Nachi.C se registra a sí mismo como un servicio de Windows. El nombre de este servicio está compuesto de palabras de las siguientes listas:
Lista 1: Internet, License, Network, Performance, Remote, Routing, Security, System.
Lista 2: Accounts, Event, Logging, Manager, Procedure.
Lista 3: Client, Messaging, Provider, Sharing.

Metodo de propagación:

Nachi.C se propaga mediante el ataque de máquinas remotas. Nachi.C intenta aprovechar una de las siguientes vulnerabilidades: Desbordamiento de buffer en interfaz RPC, WebDAV o Desbordamiento de buffer en servicio Workstation. En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor web.

Otros detalles:

Nachi.C tiene un tamaño de 12800 Bytes y está comprimido con UPX.