NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo gusano que propaga por compartición de recursos.

 

Nombre de virus: W32/Anig.worm
Alias conocidos: W32/Dfcsvc.worm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por comparticiones administrativas del sistema
Activación: Por ejecución remota de fichero EXE
Detección: desde DATS 4321
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Anig es un gusano que se propaga por compartición de recursos ADMIN$ e IPC$.

Se compone de dos elementos:

· NTOSA32.EXE

· NTGINA.DLL

El componente EXE está escrito en Delphi y es el gusano propagador. El DLL es un componente keylogging (registra las teclas que pulsa el usuario) inyectado en el WINLOGON.EXE y en otros procesos en ejecución.

Este keylog se crea en la carpeta System como NTKBH32.DLL, por ejemplo:

· C:\WINNT\SYSTEM32\NTKBH32.DLL

Cuando el gusano se intenta copiar en sistemas compartidos, primero comprueba la existencia de NTOSA32.EXE, y si no lo encuentra entonces envía este fichero a través de NetBIOS. Comprueba la presencia de NTGINA.DLL, y si no existe lo envía. Finalmente, verifica la existencia de las siguientes claves de registro para asegurar la ejecución del gusano al iniciar el sistema (si las claves no existen, las crea) :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "GinaDll"="ntgina.dll"

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Osa32" = NTOSA32.EXE

Esta comprobación y creación se realizará repetidamente mientras el sistema original esté infectado.

El componente EXE también vigila las modificaciones de estos registros en la máquina local, y restaurará la intercepción en WINLOGON.EXE en caso que se elimine manualmente. Esto lo realiza aproximadamente cada 10 segundos.

El gusano puede intentar enviar información recopilada por el componente keyloger a su autor. Se observará tráfico TCP a un servidor remoto, hacia el puerto 5190 (puerto utilizado habitualmente por AOL Instant Messenger).

 

Método de infección

El gusano se copia a través de las comparticiones ADMIN$ e IPC$ para instalarse en una máquina remota.

Nota: Cuando se copia con éxito en una máquina remota, el gusano se ejecuta remotamente como un servicio - la máquina infectada no requiere reiniciarse para que se ejecute el gusano.

Después del primer reinicio, NTGINA.DLL recibe control como parte del proceso WINLOGON.EXE, y comienza la ejecución del componente keylogging.


Detección y eliminación
El gusano se controla desde los DAT 4321 , para su eliminación se recomienda ejecutar nuestra utilidad ELIANIGA .

SATINFO, VIRUSCAN SPAIN SERVICE 03 de Febrero de 2004

Anterior