Efectos 

Nachi.A realiza las siguientes acciones:

• Es capaz de desinstalar el gusano Blaster, finalizando el proceso y borrando el fichero del gusano.
• Provoca un aumento del tráfico de red por los puertos TCP 135 y 707, y UDP 69.
• El gusano se borra así mismo cuando la fecha del sistema coincida con el año 2004.
• Analiza la versión del sistema operativo y descarga los parches de seguridad para la vulnerabilidad RPC DCOM de una de las siguientes URLs:
  
  http:// download.microsoft.com/ download/ 6/ 9/ 5/ 6957d785 - fb7a - 4ac9 - b1e6 -cb99b62f9f2a/ Windows2000 - KB823980 - x86 - KOR.exe
  
  http:// download.microsoft.com/ download/ 5/ 8/ f/ 58fa7161 - 8db3 - 4af4 - b576 -0a56b0a9d8e6/ Windows2000 - KB823980 - x86 - CHT.exe
  
  http:// download.microsoft.com/ download/ 2/ 8/ 1/ 281c0df6 - 772b - 42b0 - 9125 -6858b759e977/ Windows2000 - KB823980 - x86 - CHS.exe
  
  http:// download.microsoft.com/ download/ 0/ 1/ f/ 01fdd40f - efc5 - 433d - 8ad2 -b4b9d42049d5/ Windows2000 - KB823980 - x86 - ENU.exe
  
  http:// download.microsoft.com/ download/ e/ 3/ 1/ e31b9d29 - f650 - 4078 - 8a76 -3e81eb4554f6/ WindowsXP - KB823980 - x86 - KOR.exe
  
  http:// download.microsoft.com/ download/ 2/ 3/ 6/ 236eaaa3 - 380b - 4507 - 9ac2 -6cec324b3ce8/ WindowsXP - KB823980 - x86 - CHT.exe<<br />
  http:// download.microsoft.com/ download/ a/ a/ 5/ aa56d061 - 3a38 - 44af - 8d48 -85e42de9d2c0/ WindowsXP - KB823980 - x86 - CHS.exe
  
  http:// download.microsoft.com/ download/ 9/ 8/ b/ 98bcfad8 - afbc - 458f - aaee -b7a52a983f01/ WindowsXP - KB823980 - x86 - ENU.exe
• Aumenta el tráfico de red en los puertos TCP 135 y 707, y UDP 69.

Metodo de Infección 

Nachi.A crea los siguientes ficheros en la carpeta WINS dentro del directorio de sistema de Windows:

• DLLHOST.EXE. Este fichero contiene el código del gusano.
• SVCHOST.EXE. Este fichero es una copia del fichero de Windows TFTPD.EXE, y es ejecutado como el servicio Network Connections Sharing para ocultar el uso que hace del cliente TFTP.

Nachi.A crea las siguientes entradas en el Registro de Windows:

• HKLM \ SYSTEM\ CurrentControlSet\ Services\ RpcPatch = “DLLHOST.EXE”
• HKLM \ SYSTEM\ CurrentControlSet\ Services\ RpcTftpd = “SVCHOST.EXE”
  De esta manera, consigue ejecutarse cada vez que se inicie Windows.

Nachi.A realiza el siguiente proceso de infección:

• El gusano crea un mutex llamado RPC_Patch_Mutex para comprobar que se encuentra activo. Nachi.A verifica que la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.

• Nachi.A intenta aprovechar en la máquina remota la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC.
• Si lo consigue, Nachi.A lanza una sesión remota y obliga al ordenador atacado a realizar una conexión desde el puerto TCP 707 de la máquina atacada al puerto UDP 69 de la máquina atacante.
• Cuando se establece dicha conexión, el ordenador atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
• Una vez finalizada la descarga, procede a la ejecución remota del fichero enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.

Método de Propagación 

Nachi.A se propaga mediante el ataque de maquinas remotas. Nachi.A intenta aprovechar una de las siguientes vulnerabilidades: Desbordamiento de búffer en interfaz RPC o WebDAV. En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor TFTP.

Otros Detalles  

Nachi.A ha sido programado en el lenguaje de programación Visual C++, en su versión 6.0. Este gusano tiene un tamaño de 10.240 Bytes cuando se encuentra comprimido mediante UPX, y de  aproximadamente 31 KBytes cuando está descomprimido.

Contiene varias cadenas de texto en su interior, aunque no son mostradas en ningún momento:

===========I love my wife & baby :)~~~  Welcome Chian~~~  Notice:  2004 will remove myself:)~~ sorry zhongli~~~===========