Neeris.L

Gusano que aprovechándose de la vulnerabilidad MS08-067 (la misma que el Conficker) descarga un rootkit y se propaga a través de unidades extraíbles.

Difusión: Baja Fecha de Alta:27-05-2009
Última Actualización:27-05-2009

Daño: Medio

Dispersibilidad: Medio

Nombre completo: Worm.W32/Neeris.L@DE

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [DE] - Se propaga a dispositivos extraíbles insertados o conectados en/al equipo afectado.

Alias:WORM_NEERIS.L (Trend Micro), W32/Neeris.L (PerAntivirus)

Método de infección/Efectos

# Realiza una copia de si mismo en:

* %Windir%\system\netmon.exe

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

# Descarga un software malicioso que se detecta como RTKT_FARFLI.UW y se copia en:

* %System%\drivers\sysdrv32.sys

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

# Crea las siguientes entradas de registro:

* Para ejecutarse en cada reinicio del sistema:

Código:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Valor: netmon = "%Windows%\system\netmon.exe"
*Para ejecutarse también en modo seguro:

Código:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\netmon32

Valor: (default) = "Service" 

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\netmon32

Valor: (default) = "Service"
*Para registrarse como servicio del sistema:

Código:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32

Valor: ImagePath = "\\??\%System%\drivers\sysdrv32.sys"
*Como parte de su rutina de instalacion:

Código:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List%Windows%\system\

Valor: netmon.exe = "%Windows%\system\netmon.exe:*:Enabled:netmon"
El virus se aprovecha de la vulnerabilidad MS08-067

# El virus se copia a si mismo en todas las unidades extraibles como:

* SMARTKEY.EXE

# Ademas crea un fichero autorun.inf:

Código:
[autorun]
shellexecute=xxxxxxx.exe

action=Open folder to view files

shell\default=Open

shell\xxxxt\command=smartkey.exe

shell=xxxxx
Fuente: Alerta-Antivirus.es: Detalles del virus Neeris.L

Suerte a todos