NUJAMA.B gusano termina procesos deshabilita funciones infecta unidades de disco deja inoperativo a sistema.  

© Jorge Machado  Lima-Perú

W32/Nujama.B  

Nujama.B es un destructivo gusano reportado el 28 de Junio del 2007 que infecta las unidades lógicas de disco, carpetas compartidas y redes Peer to Peer. Termina los procesos de software antivirus y sistemas de control. 

Crea llaves y sub-llaves de registro que deshabilitan o alteran la estabilidad del sistema. Será necesario re-instalar el sistema operativo. 

Ha sido desarrollado por un grupo de codificadores de habla hispana.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 42 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema se copia a la carpeta %System% y al directorio raíz con los siguientes nombres:

libera en el directorio %Windir% los siguientes archivos:

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

y se copia al directorio raíz de cada unidad lógica de disco como:

Datos de [Nombre_computadora].exe

para deshabilitar funciones vitales del sistema, como el Administrador de Barra de Tareas, Editor de Registros, Restaurador del Sistema, Firewall de Windows y software antivirus, modifica las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = "1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = "1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = "0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = "0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = "1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DoNotAllowExceptions" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallOverride" = 1"

Para deshabilitar la función de actualizaciones de Windows y ocultar las extensiones de archivos modifica las sub-llaves:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate" = "1"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\
Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUState" = "7"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

Para ejecutarse cada vez que se abra archivos con las extensiones .exe, .bat, .pif, .cmd, y .scr, crea las sub-llaves:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"default" = "%System%\SystemMonitor.exe "%1" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"default" = "%System%\SystemMonitor.exe "%1" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"default" = "%System%\SystemMonitor.exe "%1" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"default" = "%System%\SystemMonitor.exe "%1" %*"
[HKEY_CLASSES_ROOT\cmdfile\shell\open\command]
"default" = "%System%\SystemMonitor.exe "%1" %*"
[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
"default" = "%System%\SystemMonitor.exe "%1" /S"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sysmon" = "%System%\SystemMonitor.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Services" = "%System%\csrsrss.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InfoVersion" = "%System%\InfoVersion.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTemperatureNotRemove" = "%System%\cmmput.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hola" = "%System%\call of duty.exe"

Para impedir que se ejecuten otras aplicaciones al inicio del sistema crea las sub-llaves: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start" = "4"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start" = "4"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PAVfnsvr]
"START" = "4"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Pavkre]
"START" = "4"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PavProc]
"START" = "4"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PavProt]
"START" = "4"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PavPrSrv]
"START" = "4" 

Para alterar o cambiar los datos del usuario crea las sub-llaves: 

[HKEY_CLASSES_ROOT\CLSID\{460E0A9C-90AA-8CC7-25A0-52A2C5B5EFF42}]
"SystemName" = "Microsoft Windows"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"RegisteredOwner" = "{fEr}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "{fEr}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOrganization" = "Esto es solo el principio..."
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"WindowsConfig" = "EnablePrintersOnLogin"

Para ejecutarse la próxima vez que se re-inicie el sistema genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sysmon" = "%System%\SystemMonitor.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Services" = "%System%\csrss.exe"

Al siguiente inicio del equipo, el gusano muestra las siguientes falsas cajas de diálogo:

y termina los siguientes procesos relacionados a software antivirus, programas de control y seguridad: 

termina también los procesos que tengan alguna de las siguinetes cadenas:

luego busca si las siguientes carpetas existen en el sistema:

y de hallarlas, copia a las mismas los siguientes archivos:

Ejecuta el comando cmd.exe /c systeminfo para almacenar la información capturada del sistema en %Windir%\sfoundfiles.txt

Borra los archivos:

Finalmente intenta descargar infructuosamente desde un sitio web ubicado en España, archivos Script con comandos arbitrarios. 

Debido a las acciones ejecutadas por las llaves y sub-llaves de registro creadas y/o modificadas, el sistema quedará inoperativo y será necesario re-instalar el sistema operativo.
 
PER ANTIVIRUS® versión 10.1 con registro de virus al 28 de Junio del 2007 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS