W32/Niumu

Niumu es un destructivo gusano reportado el 21 de Abril del 2007 que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles. 

Infecta archivos con extensiones .EXE y .SRC y captura contraseñas digitadas al navegar con el Internet Explorer en portales de la China.

Sistemas operativos afectados: Windows 95/98/NT/2000/XP y Server 2003

Al activarse se copia a las siguientes rutas y con los nombres:

• C:\muniu.exe
• %Windir%\rundll32.exe
• %Windir%\Downloaded Program Files\muniu.exe
• %Windir%\Downloaded Program Files\muniu.dll
• %Windir%\Downloaded Program Files\Thumbs.db
• %Windir%\Downloaded Program Files\tnumbs.db
• [Unidad_de_disco]:\Thunbs.db

para ejecutarse la próxima vez que se re-inicie el sistema crea el archivo Autorun.inf en todas las unidades de disco desde la C:\ a la Z:\ con los atributos de "oculto" y "System":

[Unidad_de_disco]:\Autorun.inf

crea además las siguientes sub-llaves:

• [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\RemoteAccess]
• [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\W32Time]
• [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\RemoteAccess]
• [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\W32Time]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RemoteAccess]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\W32Time]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RemoteAccess]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\W32Time]

Para modificar la configuración del Internet Explorer y otros servicios crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checkedv"value" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteAccess]
"ImagePath" = "%Windir%\Downloaded Program Files\muniu.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteAccess]
"Start" = "2"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time]
"ImagePath" = "%Windir%\Downloaded Program Files\muniu.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess]
"ImagePath" = "%Windir%\Downloaded Program Files\muniu.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess]
"Start" = "2"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"ImagePath" = "%Windir%\Downloaded Program Files\muniu.exe"

Inserta su código viral en todos los procesos de la ruta %Windir%\Downloaded Program Files\muniu.dll y procede a copiarse a sí mismo a todos los archivos con extensiones .EXE y .SCR, excepto en aquellos ubicados en rutas con las siguientes cadenas de texto:

• windows
• winnt
• mir.exe
• muniu.exe

todos los archivos ejecutables serán cambiados a atributo de "oculto".

El gusano descarga y ejecuta el archivo temp.exe de los siguientes URLs ubicados en la China:

http://www.md80.cn/muniu/n[Censurado]
http://www2.md80.cn/muniu/n[Censurado]
http://www3.md80.cn/muniu/n[Censurado]

También monitorea la ventana del Internet Explorer al momento de navegación y substrae las contraseñas de los mismos sitios:

http://www.md80.cn/[Censurado]
http://www2.md80.cn/[Censurado]
http://www3.md80.cn/[Censurado]

Finalmente el gusano intenta ingresar a redes con recursos compartidos, configuradas con contraseñas débiles y de lograrlo, infectará todos los archivos con extensiones .exe y .scr de las unidades de disco de la C:\ a la Z:\ cambiando sus atributos a "oculto" y "System".