W32/Nachi.K, W32/Welchia.K, Nachi.K.worm, W32.Welchia.K.worm

Nachi.K es un gusano reportado el 06 de Mayo del 2004, que aprovecha las vulnerabilidades: RPC (Llamada Remota de Procedimientos) WebDAV DCOM (Componente de Distribución de Objeto Modelo) MS Workstation Service (Vulnerabilidad de Servicios de Estación de Trabajo)

Borra además los archivos pertenecientes a variantes de los gusanos MYDOOM y DOOMJUICE e intenta descargar un parche de diversos portales en Internet.

Es un PE (Portable Ejecutable) pero solo infecta a Windows 2000/XP, está desarrollado en Visual C++ con una extensión de 13 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al ejecutarse el gusano crea el Mutex "WksPatch_Mutex" para evitar activarse más de una vez.

Luego se auto-copia a la carpeta Drivers de %System% con el nombre de Svhosts.exe, se registra como un Servicio y genera una llave a la cual le agrega varios valores:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch] 
[Cadena1] [Cadena2] [Cadena3]

[Cadena1] puede ser una de las siguientes:

• Network
• License
• System
• Security
• Remote
• Routing
• Performance
• Internet  

[Cadena1] una de las siguientes:

• Procedure
• Accounts
• Logging
• Manager
• Event 

[Cadena1] una de las siguientes:

• Sharing
• Messaging
• Provider
• Client 

Una vez activado en memoria el gusano borra los siguientes archivos creados por variantes de MYDOOM y DOOMJUICE: 

• ctfmon.dll
• shimgapi.dll
• Regedit.exe
• intrenat.exe 

También borra los siguientes valores para evitar la ejecución de estos gusanos:

• Nerocheck
• Gremlin
• Explorer
• TaskMon 

de las llaves de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

El gusano intenta parchar el sistema infectado, contra la vulnerabilidad de Desbordamiento del Buffer del RPC DCOM, revisando el sistema operativo y la información local relacionada, verificando la conexión a Internet de los siguientes portales en la web: 

• microsoft.com
• intel.com
• www.google.com 

Si logra su objetivo, descarga el parche desde el sitio de Microsoft, lo ejecuta y re-inicia el sistema (actualmente estos sitios no tienen acceso).

Su fecha de expiración es el 01 de Julio de 2004 o 140 días después de su primera ejecución.

Los parches para estas vulnerabilidad pueden ser descargados desde:

• http://www.microsoft.com/security/security_bulletins/ms03-001.asp
• http://www.microsoft.com/security/security_bulletins/ms03-007.asp
• http://www.microsoft.com/security/security_bulletins/ms03-026.asp

Sus payloads son los siguientes:

• Se propaga aprovechando las vulnerabilidades RPC (Llamada Remota de Procedimientos), WebDAV, DCOM (Componente de Distribución de Objeto Modelo) y MS Workstation Service (Vulnerabilidad de Servicios de Estación de Trabajo). 
• Borra los siguientes archivos creados por variantes de MYDOOM y DOOMJUICE.
• Intenta parchar el sistema infectado, contra la vulnerabilidad de Desbordamiento del Buffer del RPC DCOM.
• Su fecha de expiración es el 01 de Julio de 2004 o 140 días después de su primera ejecución.

PER ANTIVIRUS® versión 8.6 con registro de virus al 06 de Mayo del 2004 detecta y elimina eficientemente este gusano.