Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Naiba.A realiza las siguientes acciones:
- Finaliza los siguientes procesos, si estuvieran activos:
AVP
Beijing Rising Technology (RsRavMon, RSPPSYS)
IceSword
Kingsoft Antivirus (kwatch, kwatch3, kwatchsvc)
Estos procesos pertenecen a programas de seguridad. Al finalizarlos, si alguno de ellos estuviera ejecutándose en el ordenador, dejarían de funcionar. - Finaliza el proceso notepad.exe, correspondiente al Bloc de notas.
- Impide que se puedan mostrar los archivos ocultos correspondientes a Naiba.A mediante el Explorador de Windows.
- Borra las imágenes de Ghost Disk, si las hubiera. Ghost Disk permite copiar el contenido del disco duro de un ordenador al disco duro de otro ordenador en un único archivo comprimido o un grupo de arhivos.
Metodo de Infección
Naiba.A crea los siguientes archivos:
- HA.EXE, en el directorio raíz de todas las unidades disponibles del sistema. Este archivo es una copia del gusano.
- AUTORUN.INF, en el directorio raíz de todas las unidades disponibles del sistema. Este archivo se ejecuta cada vez que se accede a alguna de las unidades.
- CTFMON.EXE, en la subcarpeta DLLCACHE del directorio de sistema de Windows.
- ISDRV120.SYS, en la subcarpeta DRIVERS del directorio de sistema de Windows. Este archivo es una copia del archivo CTFMON.EXE creado por el gusano.
Naiba.A sobrescribe el archivo del sistema llamado CTFMON.EXE y ubicado en el directorio de sistema de Windows.
Naiba.A modifica las siguientes entradas del Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 02, 00, 00, 00
Mediante esta modificación, Naiba.A oculta los archivos del gusano en el Explorador de Windows. - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ CryptSvc
Start = 02, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ CryptSvc
Start = 04, 00, 00, 00 - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ CryptSvc
Start = 02, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ CryptSvc
Start = 04, 00, 00, 00
Modifica estas entradas para evitar que el servicio denominado Cryptsvc muestre ventanas avisando de la modificacion de archivos del sistema. De este modo, puede modificar el archivo CTFMON.EXE cambiándolo por el suyo propio, sin que el usuario se percate de ello.
Método de Propagación
Naiba.A se propaga copiándose en las diferentes unidades del sistema, unidades mapeadas y a través de dispositivos extraíbles, como los dispositivos USB, si los hubiera.
Otros Detalles
Naiba.A está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 30361 Bytes, y está comprimido mediante FSG.
>