|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
VIRUS W32/NAN.Cmp:
Nombre del virus: W32/NAN.Cmp
Alias conocidos: HLLC.NAN
Peligrosidad: Muy alta ( Baja, Alta, Muy Alta)
Propagación: Por ejecución de ficheros EXE
Detección: VIRUSCAN desde DATS 4036
Infección actual: Inicial (Inicial. Media, Elevada)
Un nuevo virus no residente en memoria. pero MUY PELIGROSO, por sus acciones (sobreescribe determinados ficheros, borra irrecuperablemente ficheros de determinadas carpetas, propaga virus CIH, etc) ha sido detectado con el nombre de W32/NAN.Cmp
En el código del virus existe la palabra INFNAN, de donde le viene su nombre. Como otros nuevos virus está escrito en Delphi teniendo un tamaño de unos 90 kB.
Cuando se ejecuta un fichero infectado, el virus busca determinados ficheros, hace una copia de ellos con otro nombre, y sobreescribe los ficheros originales con una copia del virus. La lista y los nuevos nombres de los ficheros afectados son los siguientes:
Infectado Original Directorio
------------- ---------- ------------
NOTEPAD.EXE 57381054.EXE en el directorio Windows
CDPLAYER.EXE 45123851.EXE en el directorio Windows
ACRORD32.EXE 57293711.EXE Acrobat3\Reader
EUDORA.EXE 83747213.EXE Eudora95
OUTLOOK.EXE 68493105.EXE Archivos dePrograma\Microsoft Office\Office\
IEXPLORER.EXE 57385694.EXE Archivos de Programa\ Internet Explorer\
NETSCAPE.EXE 27431087.EXE Archivos de Programa\Inetscape\program\
WINWORD.EXE 57120438.EXE Archivos de Programa\Microsoft Office\Office\
EXCEL.EXE 58192823.EXE Archivos de Programa\Microsoft Office\Office\
WINZIP32.EXE 01583754.EXE Archiuvos de Programa\WinZip\
ICQ.EXE 95821740.EXE
Al final, el virus captura el nombre del directorio a través del registro de sistema, con clave \Software\Mirabilis\ICQ\DefaultPrefs IcqPath.
El virus también hace una copia suya en los discos (incluyendo unidades de disquetes) con los nombres: WIN32APP.EXE, WINLOGIN.EXE, ZIPTOOLS.EXE., y programa el WIN32APP.EXE de la unidad C: en el registro de sistema como utilidad" auto-run":
\Software\Microsoft\Windows\CurrentVersion\Run c:\Win32App.exe
Según la hora del sistema el virus realiza una serie de funciones:
Pone a cero el nombre del ordenador y las etiquetas de disco
Busca direcciones URL y los cambia por una de los tres siguientes:
[InternetShortcut]
URL=http://www.hustler.com
URL=http://www.playboy.com
URL=http://www.penthouse.com
Elimina (sobreescribe con cero bytes y borra, con lo cual se pierde
la posibilidad de recuperar) los ficheros de las siguientes carpetas:
\hosts
\lmhosts
\system32\drivers\etc\hosts
\system32\drivers\etc\lmhosts
Puede, aleatoriamente, llamar a rutinas que salgan de Windows, o crear miles de directorios con nombres aleatorios, o crear y ejecutar un fichero en C:\ llamado DPARTY.EXE, infectado con el virus CIH.
Finalmente también puede visualizar mensajes :
Greets to VirusBuster: darknode@oninet.es
Congratulations, you have Win32.Prurient.Torturous.Pain
SATINFO, VIRUSCAN SPAIN SERVICE
Anterior