Información extraida de:
Alerta AntivirusDatos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:28-11-2008
Última Actualización:28-11-2008
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Nakhatar@US
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Tamaño (bytes): 289507
Alias: Nakhatar.A (Panda Security)
Detalles
Método de Infección/Efectos
Realiza las siguientes acciones:
* Deshabilita los siguientes elementos:
o Editor del Registro de Windows.
o Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
o Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
* Cuando el usuario intenta acceder al Editor del Registro de Windows, muestra un mensaje notificando al usuario que esta aplicación ha sido deshabilitada por el administrador y que se ponga en contacto con él. Cuando se acepta este mensaje, muestra un nuevo mensaje:
* Por otra parte, si el usuario intenta ejecutar el Administrador de Tareas, muestra el siguiente mensaje:
* Crea el archivo KHATARNAK.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
* Crea las siguientes entradas en el Registro de Windows:
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Valor: KHATARNAK Loader = %sysdir%KHATARNAK.EXE
Mediante esta entrada, consigue ejecutarse cada vez que Windows se inicia.
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System
Valor: DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System
Valor: DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas.
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer
Valor: NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows.
* Modifica la siguiente entrada del Registro de Windows, para ejecutarse cada vez que Windows se inicia:
Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Valor: Shell = Explorer.exe
Cambia esta entrada por:
Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon
Valor: Shell = Explorer.exe KHATARNAK.exe
Método de Propagación
Este gusano se propaga creando copias de sí mismo en el directorio raíz de todas las unidades del sistema disponibles. Además, las copias de sí mismo tendrán el mismo nombre que las carpetas creadas en esos directorios.
Si en el directorio raíz de la unidad C: el usuario tiene una carpeta con el nombre DOCUMENTOS, creará una copia de sí mismo con el nombre DOCUMENTOS.EXE.
Otros detalles
Tiene un tamaño de 289507 bytes y está comprimido mediante Autoit.
