VSantivirus No. 784 - Año 6 - Sábado 31 de agosto de 2002
W32/Nautic. Utiliza una carpeta propia compartida
http://www.vsantivirus.com/nautic.htm
Nombre: W32/Nautic
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: W32.HLLW.Nautic
Fecha: 27/ago/02
Alias: BKDR_NAUTIC.A, Worm.Win32.Nautical, Win32.Calinaut, W32.HLLW.Nautic, Backdoor/Nautical.Server, Worm.Win32.Nautical
Tamaño: 68,096 bytes, 57,344 bytes (cliente)
Plataforma: Windows 32-bits
Una muestra de este virus fue enviada por VSAntivirus a las principales casas de antivirus el 27 de agosto.
Se trata de un gusano, escrito en Borland C++, que crea y comparte una carpeta en red. El gusano se copia a si mismo
en dicha carpeta con un nombre seleccionado para intentar engañar al usuario desprevenido a los efectos que éste lo ejecute, pensando se trata de algo inocente.
Algunos de los posibles nombres:
Age of Empires II_Keygen(Serial).exe
Bikini Girls.exe
Funny Screensaver.exe
Hack Hotmail Account.exe
Halflife Patch.exe
Norton Antivirus 2003 Installer.exe
Playboy_Screensaver_Install.exe
Warcraft III - Crack.exe
Warcraft III Trainer (Cheats).exe
Windows XP Crack.exe
Winzip 8.2 (Beta 3) Full Version Installer.exe
Luego, el gusano queda a la espera de comandos de un atacante, poniéndose a la escucha en los siguientes
puertos:
335
2281
5679
9148
Esto compromete la seguridad del sistema infectado, permitiendo el acceso no autorizado al mismo por parte de un atacante.
Cuando se ejecuta por primera vez, el gusano busca la presencia de algún debugger instalado. Un debugger es una utilidad usada por programadores para depurar o examinar un código, ejecutándolo paso a paso mientras se muestran sus instrucciones. En caso de encontrar alguno, el gusano termina su acción sin hacer nada más.
En caso contrario, realiza las siguientes acciones:
Si el día actual es 25 de diciembre, el gusano despliega el siguiente texto:
Today is Christmas day !! Yah ?? - Santa Claus [--Nautical--]
El gusano examina si el nombre actual del archivo es uno de los siguientes:
CRSS.exe
Dllhost32.exe
Explore.exe
Kernel32.exe
krnl286.exe
Mscde32.exe
Msgmsr.exe
Msrvcp.exe
MSTCP.exe
NTDLL.exe
Ntoskrn.exe
Reg32.exe
Registry32.exe
Regsvclib.exe
Rpcsrvc.exe
Rundil32.exe
Service.exe
Sys.exe
Sysmon.exe
System32.exe
Vmm32.exe
Win.exe
Win32.exe
Winlogon32.exe
Winsrvc.exe
Si no es ninguno de ellos, se muestra una ventana con el signo de error (círculo rojo con una 'X' blanca) y el siguiente texto:
[nombre del archivo]
Unexpected error at address 0xffbc5e8af.
The application will now terminate
[ OK ]
Luego se copia con uno de los nombres de la lista anterior, en la carpeta System de Windows
('C:\Windows\System' por defecto en Windows 9x/ME, 'C:\WinNT\System32' en Windows NT/2000 y
'C:\Windows\System32' en Windows XP).
El gusano busca luego el siguiente valor en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion
Nautical = 1
Si 'Nautical' es diferente a '1', el gusano se configura a si mismo para ejecutarse cuando Windows se reinicie, realizando solo uno de los siguientes cambios en el registro:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = C:\Windows\System\[un nombre de la lista anterior]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System32 = C:\Windows\System\[un nombre de la lista anterior]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WinSys = C:\Windows\System\[un nombre de la lista anterior]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Msgsvc32 = C:\Windows\System\[un nombre de la lista anterior]
También puede modificar el archivo
C:\Windows\WIN.INI:
[windows]
run=C:\Windows\System\[un nombre de la lista anterior]
Luego de haber realizado una de las modificaciones anteriores, el gusano pone el siguiente valor a '1'
HKLM\Software\Microsoft\Windows\CurrentVersion
Nautical = 1
Luego, el gusano crea una carpeta, la cual habilita como recurso compartido en la red (e Internet). Esta carpeta es creada en alguna de las siguientes:
C:\Windows\
C:\Windows\System\
C:\Archivos de programa\
El nombre de la carpeta creada es uno de los siguientes:
Cracrs_Serials
Full Vcds
Fun Stuff
Funny Pictures
Misc Stuff
Mp3z
My Personal Stuff
My Projects
Nude Pics
Pics
Porn Stuff
Private - Do Not Enter
Softwarez
Top Secret
Xxx Movies
Ejemplos:
C:\Windows\Nude Pics
C:\Archivos de programa\Xxx Movies
El gusano se copia en la carpeta creada con un nombre que intenta engañar al usuario para que este lo ejecute.
Algunos de los nombres que usa el gusano:
Age of Empires II_Keygen(Serial).exe
Bikini Girls.exe
Funny Screensaver.exe
Hack Hotmail Account.exe
Halflife Patch.exe
Norton Antivirus 2003 Installer.exe
Playboy_Screensaver_Install.exe
Warcraft III - Crack.exe
Warcraft III Trainer (Cheats).exe
Windows XP Crack.exe
Winzip 8.2 (Beta 3) Full Version Installer.exe
Para compartir la carpeta creada, el gusano genera las siguientes entradas en el registro:
HKLMACHINE\Software\Microsoft\Windows\CurrentVersion
\Network\LanMan\[camino de la carpeta]
Flags
Parm1enc
Parm2enc
Path [camino de la carpeta]
Remark
Type
El gusano pose algunas características de troyano de acceso remoto del tipo backdoor (puerta trasera), soportando actualmente al menos dos comandos:
EJECT
UNLOAD
El comando EJECT intenta enviar comandos a las unidades D a K.
UNLOAD cierra la conexión a la red y detiene la escucha a través de los puertos usados por el troyano.
335
2281
5679
9148
Cuando el gusano recibe una conexión a través de uno de esos puertos, despliega el siguiente mensaje en una ventana de Telnet:
Telnet - 127.0.0.1
This baby is goin' 22 knots - [?? Nautical ??]
El gusano envía a la vez a todas las computadoras infectadas de un determinado dominio, los comandos disponibles, utilizando lo que Microsoft denomina 'mailslots'. Microsoft describe un 'mailslot' como un mecanismo para comunicaciones unidireccionales (IPC). Las aplicaciones pueden almacenar sus mensajes en dicho 'mailslot'. Este mecanismo es aprovechado por el gusano.
Del lado del atacante, el software cliente pregunta por el nombre del host, la dirección IP de una máquina infectada, y un puerto. Luego resuelve la conexión al sistema infectado pudiéndose luego enviar el comando apropiado.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
Debido a que el gusano realiza diferentes cambios en el registro, con varios nombres, se deben examinar todas las opciones aquí descriptas.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Network
\LanMan
\[camino de la carpeta]
3. Pinche en la carpeta que corresponda a [camino de la carpeta] y bórrela.
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
5. Pinche en la carpeta "Windows" y en la ventana de la derecha busque la siguiente entrada y bórrela:
Run = C:\Windows\System\[un nombre de la lista anterior]
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en la ventana de la derecha busque alguna de las siguientes entradas y bórrela:
System32
Msgsvc32
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en la ventana de la derecha busque alguna de las siguientes entradas y bórrela:
WinSys
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run=C:\Windows\System\[nombre del gusano]
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
02/set/02 - Alias: Win32.Calinaut, W32.HLLW.Nautic
02/set/02 - Alias: Backdoor/Nautical.Server, Worm.Win32.Nautical
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
