Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Nachi.B
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Nachi.B realiza las siguientes acciones:

Desinstala los gusanos Mydoom.A y Mydoom.B.
Se borra a sí mismo cuando la fecha del sistema es 1 de junio de 2004 o posterior.
Provoca un aumento del tráfico de red por los puertos TCP 80, 135, 139 y 445, en su intento de explotar diferentes vulnerabilidades.
Descarga un parche de seguridad de una de las siguientes direcciones, dependiendo del lenguaje del sistema operativo, y después reinicia el ordenador:

http:// download.microsoft.com/ download/ 4/ d/ 3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/ WindowsXP-KB828035-x86-CHS.exe
http:// download.microsoft.com/ download/ a/ 4/ 3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/ WindowsXP-KB828035-x86-KOR.exe
http:// download.microsoft.com/ download/ e/ a/ e/ eaea4109-0870-4dd3-88e0-a34035dc181a/ WindowsXP-KB828035-x86-ENU.exe
http:// download.microsoft.com/ download/ 9/ c/ 5/ 9c579720-63e9-478a-bdcb-70087ccad56c/ Windows2000-KB828749-x86-CHS.exe
http:// download.microsoft.com/ download/ 0/ 8/ 4/ 084be8b7-e000-4847-979c-c26de0929513/ Windows2000-KB828749-x86-KOR.exe
http:// download.microsoft.com/ download/ 3/ c/ 6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/ Windows2000-KB828749-x86-ENU.exe
Si el lenguaje del sistema operativo es el japonés, Nachi.B busca en los directorios de ayuda y en los directorios raíz virtuales archivos con extensión ASP, HTM, HTML, PHP, CGI, STM o SHTML, y los sobrescribe con un archivo que presenta la siguiente apariencia cuando es ejecutado:
Además, Nachi.B se registra a sí mismo como un servicio de Windows. El nombre de este servicio está compuesto de palabras de las siguientes listas:
Lista 1: Internet, License, Network, Performance, Remote, Routing, Security, System.
Lista 2: Accounts, Event, Logging, Manager, Procedure.
Lista 3: Client, Messaging, Provider, Sharing.

Metodo de Infección

Nachi.B crea el archivo SVCHOST.EXE en la subcarpeta DRIVERS del directorio de sistema de Windows. Este archivo es una copia del gusano.

Nachi.B modifica el archivo HOSTS, sobrescribiéndolo con el siguiente texto:
#
#
127.0.0.1 localhost

Nachi.B borra los siguientes archivos del directorio de sistema de Windows, si existieran:

TASKMON.EXE y SHIMGAPI.DLL, que pertenecen a Mydoom.A.
EXPLORER.EXE y CTFMON.DLL, que pertenecen a Mydoom.B.

Nachi.B modifica las siguientes entradas del Registro de Windows:

HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
(Default) = %sysdir%\ SHIMGAPI.DLL
donde %sysdir%es el directorio de sistema de Windows.
Este valor corresponde a la variante A de Mydoom.
Modifica esta entrada por:
HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
(Default) = %sysdir%\ webcheck.dll
HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
(Default) = %sysdir%\ CTFMON.DLL
Este valor corresponde a la variante B de Mydoom.
Modifica esta entrada por:
HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
(Default) = %sysdir%\ webcheck.dll

Nachi.B borra las siguientes entradas del Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Taskmon = %sysdir%\ Taskmon.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Taskmon = %sysdir%\ Taskmon.exe
Estas entradas ya habían sido previamente creadas por Mydoom.A.

Nota: Nachi.B sólo modifica o borra dichas entradas si han sido previamente modificadas o creadas en el ordenador afectado por Mydoom.A o Mydoom.B.

Método de Propagación

Nachi.B se propaga a través de Internet, realizando el siguiente proceso:

Comprueba si hay una conexión a Internet disponible, intentando acceder a las siguientes páginas web:
google.com
intel.com
microsoft.com
Escanea direcciones IP.
Intenta conectarse a dichas direcciones IP a través de los puertos TCP 80, 135, 139 y 445.
Si lo consigue, comprueba si el ordenador remoto presenta alguna de las siguientes vulnerabilidades: RPC DCOM (puerto 135), WebDAV (puerto 80) o Servicio Workstation (puerto 139 y 445).
Si el ordenador remoto es vulnerable, Nachi.B emplea su propio servidor web para descargar y ejecutar el archivo WKSPATCH.EXE, que contiene el código del gusano.

Otros Detalles

Nachi.B tiene un tamaño de 12800 Bytes y está comprimido con UPX.

Nachi.B crea un mutex llamado WksPatch_Mutex para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info