W32/Nuwar.ARJ

NUWAR.ARJ gusano de correo MultiSPAM y HTTP con Rootkit termina servicios procesos oculta registros, etc.

W32/Nuwar.ARJ@mm

Nuwar.ARJ es un gusano de correo residente en memoria reportado el 09 de Noviembre del 2007 de propagación MultiSPAM que contiene enlaces aleatorios a determinados URL's.

Al hacer click en el enlace el usuario es llevado a otro sitio web donde reside el archivo que es activado inmediatamente.

Termina servicios y procesos en ejecución y activa pernicioso Rootkit.

Infecta a Windows 98/Me/NT/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 107KB y no se encuentra encriptado.

Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo de los archivos con las extensiones:

adb
asp
cfg
cgi
dat
dbx
dhtm
eml
htm
jsp
lst
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

evitando enviarse a las direcciones con las siguientes cadenas:

@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip

Al activarse se copia a las siguientes rutas y con los nombres:

%System%\noskrnl.config (archivo encriptado que genera los mensajes de correo)
%System%\NOSKRNL.SYS (versión troyana del gusano)
%Windir%\noskrnl.exe (copia de sí mismo)

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"noskrnl" = "%Windir%\noskrnl.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000

El asunto y contenido de los mensajes es extraido y reproducido aleatoriamente de los sistemas infectados.

Al siguiente inicio del equipo, el gusano crea el siguiente Mutex, para evitar activarse más de una vez:

idlock.temp0995499F553D877887444EC7A

Luego inicia su rutina de envio masivo de mensajes de correo y termina los servicios relacionados a sistemas de seguridad:

bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
bcfilter.sys
bcftdi.sys
filtnt.sys
mpfirewall.sys
sandbox.sys
vsdatant.sys
watchdog.sys

Termina además los siguientes procesos relacionados a antivirus, en caso se encuentren instalados en el sistema:

avp.exe
avpm.exe
avz.exe
bdmcon.exe
bdss.exe
ccapp.exe
ccevtmgr.exe
cclaw.exe
ccpxysvc.exe
fsav32.exe
fsbl.exe
fsm32.exe
gcasserv.exe
iao.exe
icmon.exe
inetupd.exe
issvc.exe
kav.exe
kavss.exe
kavsvc.exe
klswd.exe
livesrv.exe
mcshield.exe
msssrv.exe
nod32krn.exe
nod32ra.exe
pavfnsvr.exe
rtvscan.exe
savscan.exe
zclient.exe

Crea el siguiente registro:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\noskrnl]
"ImagePath" = "\??\%System%\noskrnl.sys"

Para desestabilizar el sistema, impedir el acceso compartido e inhabilitar al Firewall de Windows crea la sub-llave:

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess
Start = "4"

Luego activa su Rootkit para ocultar archivos, llaves de registro y unidades lógicas e impedir ser capturado por los antivirus, enganchándose a los siguientes procesos:

ZwEnumerateKey (oculta los registros que contienen el WinDev)
ZwEnumerateValueKey (oculta los valores que contienen el WinDev)
ZWQueryDirectoryFile (oculta los archivos)

NOTA: WinDev es un entorno integrado de desarrollo de programación creado por la sociedad francesa PC SOFT, que permite crear aplicaciones basadas en un motor de ejecución (framework). WinDev genera aplicaciones Java, estándares o para la plataforma .NET

Finalmente, el gusano se engancha al driver TCP/IP para ocultar los puertos usados en la comunicación de los procesos de las herramientas de mapeado de unidades de disco físicas y lógicas.

PER ANTIVIRUS® versión 10.3 con registro de virus al 09 de Noviembre del 2007 detecta y elimina eficientemente este gusano.