|
Naninf.C es un destructivo gusano/backdoor residente en memoria, reportado el 01 de Febrero del 2006 que se propaga través de mensajes de correo con un archivo anexado de nombre Photo and Article.exe o descargado de un sitio en la web, haciendo uso del puerto TCP 80.
El gusano deshabilita cualquier firewall que estuviese instalado en el sistema infectado para permitir la ejecución de su componente Backdoor.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado en Visual C++, con una extensión de 10.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al activarse se copia a la carpeta %System% como Lsadst.exe y para ejecutarse la próxima que ser re-inicie el sistema crea las llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsProtocolLog" = "%System%\lsadst.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsProtocolLog" = "%System%\lsadst.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente incio del equipo crea el mutex "lsadst.exe" para evitar infectar el sistema más de una vez.
Para impedir el bloqueo de su componente Backdoor, el gusano deshabilita la configuración del firewall, con el siguiente comando:
netsh firewall set allowed program [ruta_del_gusano] enable
El comando Netsh es un script utilitario que permite en forma local o remota se pueda mostrar o modificar la configuración de una computadora dentro de la red.
luego termina los siguientes procesos relacionados a sistemas de seguridad:
Actuando como Backdoor se conecta a un servidor IRC server a través del puerto TCP 80 en uno de los dominios:
permitiendo ejecutar remotamente los siguientes comandos:
PER ANTIVIRUS® versión 9.6 con registro de virus al 01 de Febrero del 2006 detecta y elimina este gusano/backdoor.
