| Nombre común: Nakhatar.A
Nombre técnico: W32/Nakhatar.A.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Realiza varias modificaciones en el Registro de Windows, que imposibilitan que el ordenador funcione con total normalidad. Deshabilita varios elementos como el Administrador de tareas y las Opciones de Carpeta, entre otros. Se propaga relizando copias de sí mismo en todas las unidades disponibles del sistema.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 20/11/2008
Detección actualizada: 27/11/2008
Estadísticas No
Descripción Breve
Nakhatar.A es un gusano que realiza varias modificaciones en el Registro de Windows, lo que imposibilita que el ordenador funcione con total normalidad.
Estas modificaciones impiden al usuario realizar las siguientes acciones:
Visualizar los procesos que están en ejecución a través del Administrador de Tareas.
Modificar la configuración de las características de Internet Explorer y de las carpetas.
Acceder al Editor del Registro de Windows.
Nakhatar.A se propaga realizando copias de sí mismo en el directorio raíz de todas las unidades disponibles.
Efectos
Nakhatar.A realiza las siguientes acciones:
Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
Además, cuando el usuario intenta acceder al Editor del Registro de Windows, muestra un mensaje notificando al usuario que esta aplicación ha sido deshabilitada por el administrador y que se ponga en contacto con él. Cuando se acepta este mensaje, muestra un nuevo mensaje:
Por otra parte, si el usuario intenta ejecutar el Administrador de Tareas, muestra el siguiente mensaje:
Metodo de Infección
Nakhatar.A crea el archivo KHATARNAK.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Nakhatar.A crea las siguientes entradas en el Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
KHATARNAK Loader = %sysdir%\KHATARNAK.EXE
Mediante esta entrada, Nakhatar.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows.
Nakhatar.A modifica la siguiente entrada del Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = Explorer.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = Explorer.exe KHATARNAK.exe
Mediante esta modificación, Nakhatar.A consigue ejeuctarse cada vez que Windows se inicia.
Método de Propagación
Nakhatar.A se propaga creando copias de sí mismo en el directorio raíz de todas las unidades del sistema disponibles. Además, las copias de sí mismo tendrán el mismo nombre que las carpetas creadas en esos directorios.
Si en el directorio raíz de la unidad C: el usuario tiene una carpeta con el nombre DOCUMENTOS, Nakhatar.A creará una copia de sí mismo con el nombre DOCUMENTOS.EXE.
Otros Detalles
Nakhatar.A tiene un tamaño de 289507 Bytes y está comprimido mediante Autoit.
|
|