w32/nimda.r

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/nimda.r

w32.nimda.r, pe_nimda.l, i-worm.nimda.h, win32/nimda.s, virus.w32/pe_nimda.l

tipo: gusano de e-mail
tama?o: variable
origen: desconocido
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.5 con el registro de virus al 16/06/2003
descripción:
w32/nimda.r , es un gusano que se propaga utilizando vulnerabilidades de windows, recursos compartidos en red. a diferencia de otras variantes, este no se difunde a trav?s de emails. llega en los siguientes archivos files_setup.exe y riched20.dll, estos archivos son guardados en las carpetas donde existan archivos .doc
esta variante infecta archivos .exe en unidades locales como en unidades compartidas en la red. los archivos infectados tienen el c?digo del virus al inicio y al final del mismo agrega una copia del archivo riched20.dll modificado. para no volver a infectar el mismo archivo el gusano crea una marca para no volver a infectarlo.
modifica la siguiente entrada en el registro para poder infectar a todos los archivos .exe que se encuentren referenciados a dicha entrada.
hkey_local_machine\software\microsoft\windows\currentversion\app paths\ cuando un archivo infectado es ejecutado en el disco duro local, el virus copia el archivo infectado en la carpeta actual, agregando un caracter vac?o al nombre.
por ejemplo:
[nombre del archivo].exe queda como [nombre del archivo][espacio en blanco].exe , y luego lo ejecuta.
dicho archivo tiene los atributos de archivo, sistema y oculto.
si el virus se ejecuta en unidades de red el virus extrae el host en la carpeta de archivos temporales, utilizando para ello un nombre variable:
mep[xxxx].tmp.exe
donde: [xxxx] son d?gitos en notaci?n hexadecimal.
cuando el sistema es reiniciado el virus borra el archivo host y los archivos temporales creados por el virus, para realizar esto el virus modifica el archivo wininit.ini.
en servidores windows nt o 2000 crea un usuario guest con privilegios de administrador, el usuario guest no tiene contraseña.
el virus comparte todas las unidades de disco duro desde la c: hasta la z:, para realizar esto utiliza el comando net share, en sistemas con windows nt.
en sistemas con windows 95/98/me el virus modifica la siguiente entrada en el registro para poder compartir carpetas:
hkey_local_machine\software\microsoft\windows\currentversion\network\lanman\x$
las carpetas compartidas tienen acceso de lectura-escritura, adem?s el virus elimina los passwords que tuviesen dichas carpetas, para lograr esto modifica la siguiente entrada en el registro:
hkey_local_machine\software\microsoft\windows\currentversion\network\lanman\x$
flags=192h
parm1enc=0
parm2enc=0
finalmente en sistemas con windows nt/2000/xp, el virus crea un proceso remoto del explorer, el cual contiene todas las rutinas del virus, quedando a si en memoria y haciendo dif?cil su eliminaci?n.
para evitar multiples instancias del virus en memoria, este crea dos mutex:
- kkklgyfgumyppp
- kkklgyfgumyppp2
en sistemas con windows 95/98/me el virus se registra como un servicio, de esta manera queda oculto en la lista de tareas que se est?n ejecutando en el computador


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo