• Domingo 17 de Enero de 2021, 19:00

Autor Tema:  Nakhatar  (Leído 1037 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Nakhatar
« en: Viernes 28 de Noviembre de 2008, 22:06 »
0
Información extraida de: Alerta Antivirus

Datos Técnicos
Peligrosidad: 3 - Media
Difusión:   Baja
Fecha de Alta:28-11-2008
Última Actualización:28-11-2008
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Nakhatar@US    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Tamaño (bytes): 289507
Alias: Nakhatar.A (Panda Security)
Detalles
Método de Infección/Efectos

Realiza las siguientes acciones:

    * Deshabilita los siguientes elementos:
          o Editor del Registro de Windows.
          o Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
          o Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
    * Cuando el usuario intenta acceder al Editor del Registro de Windows, muestra un mensaje notificando al usuario que esta aplicación ha sido deshabilitada por el administrador y que se ponga en contacto con él. Cuando se acepta este mensaje, muestra un nuevo mensaje:
     
    * Por otra parte, si el usuario intenta ejecutar el Administrador de Tareas, muestra el siguiente mensaje:
     
    * Crea el archivo KHATARNAK.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
    * Crea las siguientes entradas en el Registro de Windows:

      Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
      Valor: KHATARNAK Loader = %sysdir%KHATARNAK.EXE

      Mediante esta entrada, consigue ejecutarse cada vez que Windows se inicia.

      Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
      System
      Valor: DisableRegistryTools = 01, 00, 00, 00

      Deshabilita el Editor del Registro de Windows.

      Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
      System
      Valor: DisableTaskMgr = 01, 00, 00, 00

      Deshabilita el Administrador de Tareas.

      Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
      Explorer
      Valor: NoFolderOptions = 1

      No muestra la opción Opciones de Carpeta en el Explorador de Windows.
    * Modifica la siguiente entrada del Registro de Windows, para ejecutarse cada vez que Windows se inicia:

      Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
      Valor: Shell = Explorer.exe

      Cambia esta entrada por:

      Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon
      Valor: Shell = Explorer.exe KHATARNAK.exe

Método de Propagación

Este gusano se propaga creando copias de sí mismo en el directorio raíz de todas las unidades del sistema disponibles. Además, las copias de sí mismo tendrán el mismo nombre que las carpetas creadas en esos directorios.

Si en el directorio raíz de la unidad C: el usuario tiene una carpeta con el nombre DOCUMENTOS, creará una copia de sí mismo con el nombre DOCUMENTOS.EXE.
Otros detalles

Tiene un tamaño de 289507 bytes y está comprimido mediante Autoit.
El pasado son solo recuerdos, el futuro son solo sueños