NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


VIRUS W32/NAN.Cmp:

Nombre del virus: W32/NAN.Cmp

Alias conocidos: HLLC.NAN

Peligrosidad: Muy alta ( Baja, Alta, Muy Alta)

Propagación: Por ejecución de ficheros EXE

Detección: VIRUSCAN desde DATS 4036

Infección actual: Inicial (Inicial. Media, Elevada)

Un nuevo virus no residente en memoria. pero MUY PELIGROSO, por sus acciones (sobreescribe determinados ficheros, borra irrecuperablemente ficheros de determinadas carpetas, propaga virus CIH, etc) ha sido detectado con el nombre de W32/NAN.Cmp

En el código del virus existe la palabra INFNAN, de donde le viene su nombre. Como otros nuevos virus está escrito en Delphi teniendo un tamaño de unos 90 kB.

Cuando se ejecuta un fichero infectado, el virus busca determinados ficheros, hace una copia de ellos con otro nombre, y sobreescribe los ficheros originales con una copia del virus. La lista y los nuevos nombres de los ficheros afectados son los siguientes:

Infectado Original Directorio

------------- ---------- ------------

NOTEPAD.EXE 57381054.EXE en el directorio Windows

CDPLAYER.EXE 45123851.EXE en el directorio Windows

ACRORD32.EXE 57293711.EXE Acrobat3\Reader

EUDORA.EXE 83747213.EXE Eudora95

OUTLOOK.EXE 68493105.EXE Archivos dePrograma\Microsoft Office\Office\

IEXPLORER.EXE 57385694.EXE Archivos de Programa\ Internet Explorer\

NETSCAPE.EXE 27431087.EXE Archivos de Programa\Inetscape\program\

WINWORD.EXE 57120438.EXE Archivos de Programa\Microsoft Office\Office\

EXCEL.EXE 58192823.EXE Archivos de Programa\Microsoft Office\Office\

WINZIP32.EXE 01583754.EXE Archiuvos de Programa\WinZip\

ICQ.EXE 95821740.EXE

Al final, el virus captura el nombre del directorio a través del registro de sistema, con clave \Software\Mirabilis\ICQ\DefaultPrefs IcqPath.

El virus también hace una copia suya en los discos (incluyendo unidades de disquetes) con los nombres: WIN32APP.EXE, WINLOGIN.EXE, ZIPTOOLS.EXE., y programa el WIN32APP.EXE de la unidad C: en el registro de sistema como utilidad" auto-run":

\Software\Microsoft\Windows\CurrentVersion\Run c:\Win32App.exe

Según la hora del sistema el virus realiza una serie de funciones:

Pone a cero el nombre del ordenador y las etiquetas de disco

Busca direcciones URL y los cambia por una de los tres siguientes:

 

[InternetShortcut]

URL=http://www.hustler.com

URL=http://www.playboy.com

URL=http://www.penthouse.com

Elimina (sobreescribe con cero bytes y borra, con lo cual se pierde

la posibilidad de recuperar) los ficheros de las siguientes carpetas:

\hosts

\lmhosts

\system32\drivers\etc\hosts

\system32\drivers\etc\lmhosts

Puede, aleatoriamente, llamar a rutinas que salgan de Windows, o crear miles de directorios con nombres aleatorios, o crear y ejecutar un fichero en C:\ llamado DPARTY.EXE, infectado con el virus CIH.

Finalmente también puede visualizar mensajes :

Greets to VirusBuster: darknode@oninet.es

Congratulations, you have Win32.Prurient.Torturous.Pain

 

SATINFO, VIRUSCAN SPAIN SERVICE
Anterior