|
W32/Nekat
Nekat es un gusano residente en memoria, reportado el 15 de Enero del 2008 que se propaga a través de diversos servicios de Internet.Infecta las unidades de disco removibles.
Deshabilita funciones y servicios vitales del sistema y será necesario reinstalar Windows.
Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Assembler, con una extensión de 32KB y no está encriptado.
Al ingresar a un sistema se copia a la carpeta %Windir% y rutas con los siguientes nombres:
También se copia a los discos y medios de almacenamiento removibles, incluyendo dispositivos USB:
y para ejecutarse la próxima vez que se active el sistema crea las llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Shell" = "%Windir%\SysTray.com"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %Windir%\SysTray.com"
Para esconder funciones del Panel de Control de Windows, agrega las sub-llaves:
Para deshabilitar el Editor de Registros, Administrador de la Barra de Tareas y el SHELL COMMAND crea las sub-llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "1"
Para dehabilitar opciones en el Menú de Inicio agrega valores a las sub-llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoPrinters" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSMHelp" = "1"
Para deshabilitar la Restauración del Sistema y desestabilizar la Seguridad de Windows agrega las sub-llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
"UpdatesDisableNotify" = "1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%]
"SysTray.com" = "%Windir%\SysTray.com:*:Enabled:SysTray"
Para deshabiliar funciones del Explorador de Windows crea la sub-llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoThemesTab" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispAppearancePage" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispScrSavePage" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispSettingsPage" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoPrinters" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispAppearancePage" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispScrSavePage" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispSettingsPage" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue" = "0"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"UncheckedValue" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"DefaultValue" = "0"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue" = "0"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"DefaultValue" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_LOCAL_MACHINE\Software\Classes\exefile]
NeverShowExt = "1"
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el gusano se copia a sí mismo en todas las unidades removibles:
%Unidad_de_disco%\autorun.inf
Las llaves y sub-llaves generadas desahabilitan funciones y servicios dejando al sistema inoperativo. Será necesario re-instalar Windows.
PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 15 de Enero del 2008 detectan y eliminan este gusano.
