Nujama

NUJAMA gusano/troyano de servicios de Internet se copia a todas las carpetas de unidades de disco, etc.

W32/Nujama

Nujama es un gusano/troyano reportado el 27 de Diciembre del 2006 que se propaga a través de cualquier servicio de Internet. Ha sido desarrollado por un grupo de codificadores de habla hispana.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 40 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado muestra la siguiente falsa caja de diálogo:

luego se copia a la carpeta %System% con los siguientes nombres:

SystemMonitor.exe
ptsnoop.exe
InfoVersion.exe
cmmpu.exe
call of duty[68_espacios].exe

libera los siguientes archivos en las rutas:

%System%\importante.zip (copia de sí mismo)
%System%\SystemMonitor.exe
%System%\csrss.exe
%Windir%\system\oeminfo.ini
%Windir%\web\Desktop.ini
%Windir%\web\Folder.htt

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

para ejecutarse la próxima vez que se re-inicie el sistema genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sysmon" = "%System%\SystemMonitor.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Services" = "%System%\csrss.exe"

Para cambiar la información del sistema genera las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"RegisteredOrganization" = "Esto es solo el principio..."

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"RegisteredOwner" = "{fEr}"

[HKEY_CLASSES_ROOT\CLSID\{460E0A9C-90AA-8CC7-25A0-52A2C5B5EFF42}]
"SystemName" = "Microsoft Windows"

para ocultar las extensiones de los archivos genera la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

para mantener la impresora siempre activada genera la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"WindowsConfig" = "EnablePrintersOnLogin"

Al siguiente inicio del equipo, el gusano se copia a todas las carpetas de todas las unidades de los discos, usando el nombre de cada carpeta.

También se copia a todas las unidades de disco con el siguiente nombre:

Datos de [Nombre_computadora].exe

PER ANTIVIRUS® versión 9.9 con registro de virus al 27 de Diciembre del 2006 detecta y elimina eficientemente este gusano/troyano.