Alman.NAC.

Infecta ejecutables, se propaga por redes

VSantivirus No 2480 Ao 11, mircoles 27 de junio de 2007

Alman.NAC. Infecta ejecutables, se propaga por redes

http://www.vsantivirus.com/alman-nac.htm
Nombre: Alman.NAC
Nombre NOD32: Win32/Alman.NAC
Tipo: Virus infector de ejecutables, gusano y caballo de Troya
Alias: Alman.NAC, Virus.Win32.Alman.b, W32.Almanahe.B!inf, W32/Almanahe.c, Win32/Alman.NAC
Fecha: 21/jun/07
Plataforma: Windows 32-bit
Tamao: 38,912 bytes
Virus del tipo parsito (se adjunta a otro programa y se activa cuando ese programa es ejecutado), capaz de infectar archivos
.EXE del equipo infectado.
Puede propagarse como gusano a travs de recursos compartidos de redes.
Tambin intenta descargar y ejecutar otros archivos desde Internet.
Posee caractersticas de rootkit para ocultar sus archivos y procesos.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\linkinfo.dll
c:\windows\system32\drivers\nvmini.sys
NOTA: La ubicacin y nombres de las carpetas "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El archivo .DLL es inyectado en el proceso del explorador de Windows (EXPLORER.EXE).
El archivo .SYS contiene el componente rootkit. Para instalarse como un servicio, crea las siguientes claves del registro:
HKLM\SYSTEM\ControlSet001\Services\nvmini
HKLM\SYSTEM\CurrentControlSet\Services\nvmini
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI
HKLM\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_NVMINI
Tambin crea las siguientes entradas:
HKLM\SOFTWARE\Classes\CLSID
\{C111980D-B372-44b4-8095-1B6060E8C647}
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
DL5 = "{C111980D-B372-44b4-8095-1B6060E8C647}"
El virus evita infectar ejecutables de las carpetas con los siguientes nombres:
\local settings\temp\
\qq
\winnt\
\windows\
Tambin evita infectar los siguientes archivos:
asktao.exe
au_unins_web.exe

audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
El troyano puede finalizar todos los procesos activos cuyos nombres contengan algunas de las siguientes cadenas, y siempre
que no estn en las carpetas \com\, \program files\, \system\, \windows\ o \winnt\:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe

spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
Luego de finalizarlos, borra los archivos relacionados con dichos procesos.
Tambin intenta finalizar los siguientes servicios, relacionados con antivirus y otros programas de seguridad:
AVGNTMGR
AvgTdi
BDFsDrv
hooksys
KLPF
KRegEx
KWatch3
NaiAvFilter1
NAVAP
nod32drv
PavProtect
TMFilter
VETFDDNT
Ejecuta como proceso oculto, una ventana del Internet Explorer (IEXPLORER.EXE), para utilizarlo en su conexin a Internet,
eludiendo la proteccin de algunos cortafuegos.
Se conecta con determinados sitios de Internet para descargar otros archivos, y para enviar informacin del equipo infectado.
Tambin recibe informacin desde dichos sitios.
El gusano busca todos los recursos de redes accesibles, e intenta conectarse como usuario administrador, utilizando las
siguientes contraseas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
1
111
123
12345
123456789
654321
aaa
abc123
admin
admin123
asdf
asdfgh
letmein
love
monkey
mypass123
owner
password
password1

qwer
qwerty
root
test123
Si logra conectarse, crea el siguiente archivo:
C$\Ins.exe
NOTA: Las particiones y los volmenes raz se comparten como el nombre de letra de unidad seguido del signo "$". Por
ejemplo, las letras de unidad C y D se comparten como C$ y D$.
Luego ejecuta un servicio remoto con las siguientes caractersticas:
Nombre de servicio: DLAN
Nombre para mostrar: DLAN

Reparacin manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el
sistema no contemplados en esta descripcin genrica.

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul detendr y advertir la
conexin de este y cualquier otro troyano con Internet, as como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin impide la ejecucin de cualquier
adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versin de un virus).
Ms informacin:
Cmo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Mdulos de actualizacin, NOD32 Update
y haga clic en el botn "Actualizar ahora". Compruebe que la versin de firmas de virus sea la misma que aparece
enhttp://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artculo:
Cmo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el siguiente enlace:
Cmo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opcin "Analizar y Desinfectar automticamente" en su antivirus. En el caso de ESET NOD32, seleccione
Control Center, NOD32 Scanner, haga clic en el botn "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botn
"Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botn "Desinfectar" cuando aparezca, o en el botn "Eliminar" cuando el botn
"Desinfectar" no est activo. En cualquier otro caso, el antivirus le dar el mensaje "sin acciones" y la limpieza se efectuar al
reiniciar.
6. Tome nota del nombre de los archivos desinfectados o eliminados.
7. Reinicie la computadora.

8. Vuelva a ejecutar la opcin "Analizar y Desinfectar automticamente".

Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 6 del tem "Antivirus".
Haga clic con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de
reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello depende de que versin de
Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\CLSID
\{C111980D-B372-44b4-8095-1B6060E8C647}
3. Haga clic en la carpeta "{C111980D-B372-44b4-8095-1B6060E8C647}" y brrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
5. Haga clic en la carpeta "ShellServiceObjectDelayLoad" y en la ventana de la izquierda busque y borre la siguiente entrada:
DL5 = "{C111980D-B372-44b4-8095-1B6060E8C647}"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\nvmini
7. Haga clic sobre la carpeta "nvmini" y brrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\nvmini
9. Haga clic sobre la carpeta "nvmini" y brrela.
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE

\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_NVMINI
11. Haga clic sobre la carpeta "LEGACY_NVMINI" y brrela.
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet001
\Enum
\Root
\LEGACY_NVMINI
13. Haga clic sobre la carpeta "LEGACY_NVMINI" y brrela.
14. Cierre el editor del registro.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir tambin los signos "%" antes y despus de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el men "Edicin", la opcin
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artculo, y repita todos los pasos anteriores:
Cmo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opcin "Eliminar todo el contenido sin conexin"
4. Haga clic en Aceptar, etc.

Informacin adicional
Cambio de contraseas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas
las claves de acceso, as como toda otra informacin que comprometa la informacin relacionada con cualquier clase de
transaccin bancaria, incluidas sus tarjetas electrnicas y cuentas bancarias.

Activar el cortafuegos de Windows XP (Internet Conexin Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botn derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexin de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengeta "Avanzadas" tilde la opcin "Proteger mi equipo y mi red limitando o impidiendo el acceso a l desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con atributos de "Oculto", proceda as:
1. Ejecute el Explorador de Windows
2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengeta 'Ver'.
4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su
computadora, deber deshabilitar antes de cualquier accin, la herramienta "Restaurar sistema" como se indica en estos
artculos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy

(c) VSAntivirus - http://www.vsantivirus.com