Nombre:Worm/Ntech.C
Descubierto:08/08/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:No
Tamaño:20.992 Bytes
Versión del IVDF:6.39.00.221 - miércoles 8 de agosto de 2007

 General Método de propagación:
   • Correo electrónico


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo

 Ficheros  Crea la siguiente carpeta:
   • %WINDIR%\temp\



Sobrescribe un fichero.
%SYSDIR%\driver\secdrv.sys



Crea los siguientes ficheros:

%SYSDIR%\driver\runtime.sys Además, el fichero es ejecutado después de haber sido creado. Detectado como: RKit/Posh.A

%WINDIR%\temp\startdrv.exe Detectado como: Worm/Ntech.C

%SYSDIR%\driver\runtime2.sys Detectado como: RKit/Posh.A




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://67.18.114.98/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\%varios dígitos aleatorios%8.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral.



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\driver\runtime2.sys
Empleado para ocultar el proceso en el Administrador de tareas. Detectado como: RKit/Posh.A

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 Correo electrónico Contiene un motor SMTP integrado para enviar correo no solicitado (spam). Establece una conexión directa con el servidor de destinación. Sus características están descritas a continuación:


De:
Direcciones recolectadas del Internet. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o ni siquiera esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones recolectadas del Internet.


Asunto:
Uno de los siguientes:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

El campo del asunto está vacío.
El campo del asunto incluye caracteres aleatorios.


El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • %el substituto 1% , %el substituto 2% !
     
     Funny game. %el substituto 3% fucks %el substituto 4% ... In your attachemnt.

   • %el substituto 1% , %el substituto 2% !
     
     Amusing game. %el substituto 3% fucks %el substituto 4% ... In your attachemnt.


Continuando con una de las siguientes:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%el substituto 1% puede ser extendido a uno de los siguientes:
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%el substituto 2% es extendido a uno de los siguientes:
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%el substituto 3% es extendido a uno de los siguientes:
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


% el substituto 4% es extendido a uno de los siguientes:
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


Archivo adjunto:

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo puede tener una de las siguientes formas:



 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • 216.195.61.87:2581



Capabilidades de control remoto:
    • Enviar mensajes de correo

 Tecnología Rootkit – Sus propios ficheros
– Sus propios procesos


Método empleado:
    • Se ha ocultado de la tabla descriptora de interrupciones (IDT)

Engancha las siguientes funciones API:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Descripción insertada por Viktor Graeber el miércoles 8 de agosto de 2007
Descripción actualizada por Andrei Ivanes el jueves 9 de agosto de 2007

Volver . . . .