Worm.W32/Nachi
Alias:
W32/Nachi.worm (McAfee), WORM_MSBLAST.D (Trend Micro),
W32.Welchia.Worm (Symantec), WIN32/NACHI.A (Enciclopedia Virus
(Ontinent)), W32/Nachi-A (Sophos), Win32.Nachi.A.Worm (Computer
Associates), Welchi (F-Secure), W32/Nachi.A (Norman)
Descripción:
Otro gusano que aprovecha la misma vulnerabilidad de Windows (en la
interfaz RPC) que el gusano Blaster. No tiene efectos destructivos.
Borra el propio gusano Blaster y él mismo se autodestruye al llegar
el año 2004. Instala varios parches de Microsoft.
Detalles:
Este gusano se propaga exactamente igual que Blaster, es decir,
explotando la vulnerabilida MS03-26.
Por lo demás, este gusano realiza las siguientes acciones:
Con el fin de asegurarse de que solo hay una instancia de él
ejecutándose en la máquina infectada, crea un mutex denominado
"RpcPatch_Mutex".
El virus se copia a sí mismo como
C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE
(10.240 bytes)
También intenta copiar el fichero TFTPD.EXE de la cahé dll de
la máquina víctima a este directorio, cambiándole de nombre:
C:\WINNT\SYSTEM32\WINS\SVCHOST.EXE
Instala los siguientes servicios:
- RpcPatch, para ejecutar la
copia del gusano (DLLHOST.EXE). Nombre de servicio: "WINS
Client"
- RpcTftpd , para ejecutar
SVCHOST.EXE. Nombre de servicio: "Network Connections
Sharing"
Descarga de parches
Este gusano descarga e instala alguno de los siguientes parches
de Microsoft (todos ellos relacionados con la vulnerabilidad RPC):
Borrado de Blaster y
borrado de sí mismo
En caso de que el gusano Blaster esté instalado en la máquina víctima,
este gusano, Niachi, lo borrará.
Además, en cuanto la fecha del sistema alcanze el 1 de enero de
2004, Niachi se borrará a sí mismo del sistema.
Solución:
- Uso de antivirus actualizado.
Más información acerca de este virus en:
Fuente: red.es |
