|
NARCHA, gusano de redes Peer to Peer se auto-copia a las unidades de
disco con diferentes nombres.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Narcha
Narcha
es un gusano
reportado el 06 de Septiembre del 2006,
que ingresa a los sistemas a través de la redes Peer
to Peer con un archivo de nombre svchost.exe.
Se copia a sí mismo a todas las unidades
de disco del sistema infectado con diferentes nombres de archivos.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP
y Server
2003 desarrollado en Visual C++ con 96 KB
de extensión y
comprimido con el utilitario FSG:
http://www.exetools.com/compressors.htm
Al ingresar al sistema el gusano se copia a
la carpeta %System% con el nombre de svchost.exe
y para activarse la próxima vez que se re-inicie el sistema crea
las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Agent" = "%System%\svchost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell Explorer.exe" =
"%System%\svchost.exe"
para asegurar su ejecución en el Inicio el
gusano crea además los siguientes llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\runservices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\runonceex]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\runservicesonce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\runservicesonceex]
[HKEY_CURRENT_USER\exefile\shell\open\command]
[HKEY_CURRENT_USER\comfile\shell\open\command]
[HKEY_CURRENT_USER\batfile\shell\open\command]
[HKEY_CURRENT_USER\htafile\shell\open\command]
[HKEY_CURRENT_USER\piffile\shell\open\command]
Al siguiente inicio del equipo el gusano se copia a todas las unidades de
disco con los cualquiera de los siguientes nombres de archivo:
- Backup Folder.exe
- Briefcase Documets.exe
- Chernobyl April 26.exe
- Common Files.exe
- Desktop.exe
- Downloads.exe
- eBooks.exe
- Fine Pictures.exe
- Folder.exe
- Funny Jokes.exe
- Game Folder.exe
- Important Letters.exe
- Microsoft Common Shared Files.exe
- Music Folder.exe
- My Documents.exe
- My Shared Documents.exe
- New Folder.exe
- Office Documents.exe
- Picture Collection.exe
- Pictures.exe
- PowerPoint Documents.exe
- Private Pictures.exe
- Project Report(s).exe
- README.exe
- Received Pictures.exe
- Screensaver Collection.scr
- Shared Documets.exe
- Shared Network Folder.exe
- Shortcut to Shared Folder.pif
- Text Files.exe
- Unread Emails.exe
- Wallpapers.scr
- WinAmp Files.exe
- WINFOLDER.exe
- Wma Files.exe
- Zipped Folder.exe
Luego busca las carpetas de descarga de los
sistemas Peer
to Peer a las cuales se copia con cualquiera de estos nombres:
- 3000+ Sexy Girl's Full Site Access USERNAME,PASSOWRD Generator For Free Hot+s
- Adult PACMAN 2 Game [FULL].exe
- Basic emails hacking tricks.Documents.pif
- Blog on LSD,Marijuana,Hashish,Drugs Making.html.exe
- Britney,Madonna,Pink,girls,www.MilfHunter.com Porn
Exposed+hot+sex+pictures
- Common Wallpapers.exe
- CRACK.com
- Default folder.exe
- DivX JetAudio All Version Working Patch.exe
- Downloaded eBooks.exe
- Explorer.Zip.scr
- FIFA_ALL_TIME_PATCH.com
- Folder Locker Setup 2.01 [FULL Patched].exe
- Folder.exe
- FunLove.com
- Funny Folder.scr
- Funny Screensavers.scr
- Google Earth Pro FULL Regestry Patch.exe
- Hot+Fun+BeachBabes Flash Game.exe
- Hottest Blog on Pornography Sex Icons [Advisory].txt.com
- Internet Explorer + Mozilla Firefox Parental Adult Passsword Filter Remover.exe
- Macfee + Norton AntiVirus GoLive Regestry Patch.reg.exe
- Macromedia Collection.exe
- More Information.exe
- MSN Hotmail Password cracker.com
- Nokia,Samsung,Sony Mobile Hacks Secret unlock codes CHEATBOOK
[FULL].msi.exe
- Pictures.exe
- README.com
- Saddams Birthday Video [Flash Movie].exe
- ScreenSaver.exe
- Shared Files.exe
- Shared Pictures.exe
- Shortcut to Flash Games.pif
- Shortcut to Music Folder.pif
- Shortcut to Private Folder.pif
- Shortcut to Shared Items.pif
- Shortcuts to XXX FULL PASS SITES.pif
- Text Files.exe
- UPDATE.exe
- Updated Downloads.exe
- Wallpaper Collection.exe
- Windows XP Secrets [README Document].com
- WINFOLDER.exe
- WinRAR Working Patch.exe
- Winzip 10.00 + WinRAR 5.1 + WinAce 7.00 ALL in ONE Ultimate Patch [From
CoRe]
- Women's Tennis Goes Nude [Flash Game].exe
- www.Amazone.com.com
- www.VirtualGirl.com Serial Key Generator + Patch.exe
- Yahoo Msn Password Generator.com.com
PER ANTIVIRUS®
versión 9.8 con registro de virus al 06 de Septiembre del 2006
detecta y elimina eficientemente este
gusano.
