Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/nachi.k

w32/nachi.k

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/nachi.k

w32.welchia.k
tipo: gusano
tama?o: 13,824 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 06/05/2004 descripción:
w32/nachi.k , es un gusano que se aprovecha de multiples vulnerabilidades, si el sistema operativo de la computadora infectada esta en chino, koreano o ingles, el gusano intentar? descargar e instalar los parches de seguridad desde el sitio web de microsoft windows update.
las vulnerabilidades de las que se aprovecha son las siguientes:
vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. utiliza el puerto tcp 135. vulnerabilidad webdav vulnerability descrito en el bolet?n de seguridad ms03-007 de microsoft. utiliza el puerto tcp 80. vulnerabilidad rpc locator vulnerability descrito en el bolet?n de seguridad ms03-001 de microsoft. utiliza el puerto tcp 445. vulnerabilidad microsoft workstation service buffer overrun descrito en el bolet?n de seguridad ms03-049 de microsoft. utiliza el puerto tcp 445 cuando el gusano se ejecuta crea un mutex llamado wkspatch_mutex, el cual le permite que s?lo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo como:
system \drivers\svchost.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s crea el siguiente servicio:
servicio binario: system \drivers\svchost.exe
nombre del servicio: wkspatch
nombre del servicio que se muestra: texto1 + texto2 + texto3
donde:
texto1, puede ser uno de los siguientes:
system security remote routing performance network license internet texto2, puede ser uno de los siguientes:
logging manager procedure accounts event texto3, puede ser uno de los siguientes:
provider sharing messaging client adem?s intentar? remover a los gusanos w32/mydoom.a y w32/mydoom.b, w32/doomjuice.a y w32/doomjuice.b, en el computador atacado, finalizando los siguientes procesos y eliminando los archivos pertenecientes a los gusanos mencionados:
finaliza los siguientes procesos: system \intrenat.exe system \explorer.exe system \regedit.exe system \taskmon.exe tambi?n elimina los archivos pertenecientes a los gusanos w32/mydoom.a y w32/mydoom.b
system \shimgapi.dll system \ctfmon.dll luego elimina las siguientes entradas en el registro que pertenecen a los gusanos mencionados anteriormente:
hkey_local_machine/software/microsoft/windows/currentversion/run/gremlin hkey_local_machine/software/microsoft/windows/currentversion/run/nerocheck hkey_local_machine/software/microsoft/windows/currentversion/run/taskmon hkey_current_user/software/microsoft/windows/currentversion/run/taskmon hkey_local_machine/software/microsoft/windows/currentversion/run/explorer hkey_current_user/software/microsoft/windows/currentversion/run/explorer restaura el valor en la siguiente entrada del registro:
hkey_current_user\clsid\{e6fb5e20-de35-11cf-9c87-00aa005127ed}\inprocserver32
@= systemroot \system32\webcheck.dll
elimina el servicio llamado rpcpatch si este existe.
sobrescribe el archivo hosts con los siguientes valores:
# # 127.0.0.1 localhost genera un rango de direcciones ip aleatorias y env?a paquetes de datos (exploit data) a los puertos tcp 135, 80, 445, 3127 para poder explotar las vulnerabilidades antes mencionadas.
ejecuta un servidor http sobre un puerto tcp aleatorio del computador infectado, para que de esta manera otros computadores atacados puedan descargar y ejecutar el archivo wkspatch.exe.
seguidamente busca archivos con las siguientes extensiones:
.shtml .shtm .stm .cgi .php .html .htm .asp en los virtual roots y los directorios de ayuda de iis , si la computadora atacada tiene seleccionado en el atributo codepage el valor correspondiente al idioma japon?s , el gusano sobrescribir? los archivos encontrados con un archivo html que contiene el siguiente texto:
let history tell future ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 little boy 1945.8.9 fatso 1945.8.15 let history tell future ! finalmente el gusano se desactiva a si mismo si la fecha es el 1 de julio del 2004 o despu?s de haberse ejecutado 140 d?as.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo