W32/Detnat.E

W32/Detnat.E

Nombre:	W32/Detnat.E Alias: Win32.Worm.Detnat.E, Worm.Detnat.e, W32/Detnat.E!worm, Worm.Win32.Detnat.e, W32/Detnat.NX, W32/Detnat.e, TR/PCK.NSAnti.14, Win32:NSAnti-F, Packed.Win32.NSAnti.a, Generic2.GNP, W32/Downloader.AMYL, Trojan.MulDrop.4034, Win32/QQRob.BF!Trojan, Win32/QQPass.AX, PWS-QQRob, Win32/PSW.QQPass.JF, Trj/QQPass.GE, W32.Pasobir, WORM_QQPASS.ADH
Tipo:	Gusano
Tamaño:	166,520 Bytes (.exe); 47,104 Bytes (.exe); 33,792 Bytes (.dll)
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.0 al 07/11/2006.

Descripción

W32/Detnat.E, es un gusano que se copia a si mismo en todas las unidades removibles (unidades USB) que encuentre en el computador atacado, además roba información (contraseñas) de la aplicación de Mensajeria QQ si este se encuentra instalado en la computadora.

Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:

%system%\svohost.exe
%system%\winscok.dll

Nota:

%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"SoundMam"="%system%\svohost.exe"

También modifica la siguiente entrada en el registro para cambiar configuraciones del Explorador:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoDriveTypeAutoRun"="189"

Luego elimina las siguientes entradas del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Winhoxt"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"NTdhcp"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"KAVPersonal50"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"yassistse"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"YLive.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"KvMonXP"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"RavTask"

Seguidamente el gusano se copia a si mismo en todas las unidades removibles disponibles con un archivo de nombre "sxs.exe" y "autorun.inf", el archivo .inf, habilita la ejecución automática del .exe. El archivo "autorun.inf" contiene las siguientes instrucciones:

[AutoRun]

open = sxs.exe

shellexecute= sxs.exe

shell\Auto\command=sxs.exe

El gusano finaliza los siguientes procesos que encuentre ejecutándose en el computador atacado, dichos procesos están relacionados a programas de seguridad y antivirus.

CCAPP.exe
CCenter.exe
ccEvtMgr
ccProxy
ccSetMgr
EGHOST.exe
FireTray.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
Kavsvc
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
KVSrvXP
Kvsrvxp.exe
KVSrvXp_1.exe
KVWSC
kvwsc.exe
KWATCHUI.exe
MAILMON.exe
McAfeeFramework
MCAGENT.exe
McShield
McTaskManager
MCVSESCN.exe
MSKAGENT.exe
MskService
net.exe
net1.exe
NPFMntor
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
regedit.exe
RfwMain.exe
RRfwMain.exe
RsCCenter
RsRavMon
Rtvscan.exe
sc.exe
sc1.exe
sharedaccess
SHSTAT.exe
SNDSrvc
SPBBCSvc
srservice
Symantec Core LC
TBMon.exe
TrojDie.kxp
UpdaterUI.exe
VPTray.exe
wscsvc

Finalmente el gusano roba contraseñas del "Messenger QQ", si este se encuentra instalada en la computadora atacada, para luego enviar la información capturada a su creador utilizando su propio motor SMTP y vía HTTP.