[W32/Nachi-E]
[Leírás]

Leírás:

W32/Nachi-E olyan gépeket fertõz melyek a W32/MyDoom-A-val fertõzöttek vagy a következõ Microsoft buffer túcsordulások egyikére nézve sebezhetõek: DCOM RPC, WebDAV, IIS5/WEBDAV .
További információt a következõ Microsoft biztonsági hírekben talál: MS03-026, MS03-007 és MS03-049.

A féregvírus a random IP címre kapcsolódik a 135 vagy 445 porton és kihasználja ezeket a túlcsordulási sebezhetõségeket, megpróbál lefutattni egy rövid programot azokon a gépeken melyeken nem lettek a biztonsági hibák kijavítva.
A tulcsorduláskor lefutó parancsok letöltik a vírust és futtatják azt. A féreg a 1024 es port felett töltõdik le random porton.


W32/MyDoom-A a 3127-es porton nyújt hozzáférést a számítógéphez.

Elsõ futáskor a féreg bemásolja magát a <system>\drivers\svchost.exe-be és egy új alkalmazást készít WksPatch néven, felveszi az autómatikusan indítandó alkalmazások közé, így a "vírus" minden Windows betöltõdéskor elindul.

Az alkalmazás a következõ listákból válasz magának nevet:

"System", "Security", "Remote", "Routing", "Performance", "Network", "License"
or "Internet"

"logging", "Manager", "Procedure", "Accounts" or "Event"

"provider", "sharing", "Messaging" vagy"Client"

Pl: "System logging provider".

Az alkalmazás leírása a böngészõbõl vagy a MSDTC bõl kerül kiválasztásra a féreg által. A vírus megpróbálja kikapcsolni az eltávolítására alkalmas programokat a Windows rendszerkönytárából próbálja törölni azokat: intrenat.exe, Regedit.exe, shimgapi.dll, cftmon.dll, Explorer.exe vagy TaskMon.exe és a következõ registry bejegyzéseket próbálja törölni:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Gremlin
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Nerocheck
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Shimgapi.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer

Megpróbálja törölni a RpcPatch alkalmazást ha nem létezik a következõ bejegyzést készíti:

HKCR\CLSID(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32
= "%SystemRoot%\System32\webcheck.dll"

Ha a fenti bejegyzés nem létezik a vírus megpróbál egy teljesen új host filet létrehozni a következõ helyen<system>\drivers\etc\hosts. Az új HOSTS file csak egy bejegyzést tartalmaz a localhost-ra loopbackként a 127.0.0.1. címre.

W32/Nachi-E megpróbálja a weboldalat megváltoztatni úgy hogy kicseréli a következõ kiterjesztésû fileokat: ASP, HTM, HTML, PHP, CGI, STM, SHTM and SHTML a Microsoft IIS root és help könyvtáraiban, egy olyan HTML filra ami annyi tartalmaz hogy: 'LET HISTORY TELL FUTURE!'.

Ezenkívül a vírus megpróbálja a következõ biztonsági frissítéseket is letölteni a számítógépre Windows 2000 and for Windows XP rendszerek esetén:

http://download.microsoft.com/download/4/d/3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe

http://download.microsoft.com/download/a/4/3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe

http://download.microsoft.com/download/e/a/e/ eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe

http://download.microsoft.com/download/9/c/5/ 9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe

http://download.microsoft.com/download/0/8/4/ 084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe

http://download.microsoft.com/download/3/c/6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe

A féreg lefutása után 2004 júliusában saját magát eltávolítja.

Forrás: www.sophos.com
fordítva: {Dudu}