PCNEWS

3 Februarie: Virusul care iti strica fisierele office

Pe data de 3 a fiecarei luni Win32.Nyxem.E@mm va suprascrie toate fisierele care au extensiile gasite mai jos in descrierea tehnica. Daca computerul tau de la birou sau cel pe care iti faci cine stie ce proiecte este infectat Win32.Nyxem.E@mm atunci multa bafta! Mai bine nu-l deschizi azi… Hmmm, acum nu e prea tarziu pentru tine…?!?

Nume:
Win32.Nyxem.E@mm

Alias:
Email-Worm.Win32.Nyxem.e, W32/Nyxem-D, WORM_GREW.A, W32/MyWife.d@MM

Tip:
Mass Mailer Executabil

Marime:
cca 93 KBytes (packed)

Descoperit:
15 ianuarie 2006

Detectat:
15 ianuarie 2006

Raspandire:
Mica

Risc:
Mediu

ITW:
Da




Simptome:
[IMPORTANT!]

Pe data de 3 a fiecarei luni virusul va suprascrie toate fisierele care au extensiile gasite mai jos in descrierea tehnica.

– prezenta urmatorului fiesier in folderul %WINDOWS%:

%WINDOWS%Rundll16.exe

– prezenta oricarui din aceste fisiere in folderul %SYSTEM%:

%SYSTEM%scanregw.exe

%SYSTEM%Update.exe

%SYSTEM%Winzip.exe

– prezenta urmatorului fiesier in folderul Startup:

C:Documents and SettingsAll UsersStart MenuProgramsStartupWinZip Quick Pick.exe

– prezenta fisierului:

C:WINZIP_TMP.exe

– prezenta urmatoarelor chei de registri:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

„ScanRegistry” = „%SYSTEM%scanregw.exe /scan”

unde %WINDOWS% trimite catre folderul Windows (sau WinNT pe platformele Windows NT)

%SYSTEM% trimite catre folderul „System” pe platformele Windows 9x si catre folderul „System32” pe platformele WinNT.

Descriere tehnica

Aceasta virus se transmite prin intermediul e-mail-ului. Este scris in Visual Basic si este compilat in p-code.

Se raspandeste via e-mail ca mass mailer si foloseste propriul motor SMPT. Se mai poate raspandi si in retelele partajate.

Are un comportament periculos: in fiecare 3 ale lunii, dupa 30 de minute de la pornirea calculatorului cauta fisiere cu urmatoreale extensii:

.dmp .doc .mdb .mde .pdf .pps .ppt .psd .rar .xls .zip

pe toate drive-urile disponibile si inlocuieste continutul lor cu:

„DATA Error [47 0F 94 93 F4 K5]”

Formatul e-mailului este urmatorul:

Subiect: (poate fi unul din urmatoarea lista)

*Hot Movie*

A Great Video

eBook.pdf

Fw:

Fw: DSC-00465.jpg

Fw: Funny 🙂

Fw: Picturs

Fw: Real show

Fw: SeX.mpg

Fw: Sexy

Fwd: Crazy illegal Sex!

Fwd: image.jpg

Fwd: Photo

give me a kiss

Miss Lebanon 2006

My photos

Part 1 of 6 Video clipe

Photos

Re:

Re: Sex Video

School girl fantasies gone bad

Word File

Corpul mesajului: (poate fi din urmatoarea lista sau o combinatie a mesajelor)

–– forwarded message ––

>> forwarded message

bye

F**kin Kama Sutra pics

forwarded message attached.

hello,

hi

Hot XXX Yahoo Groups

how are you?

i attached the details.

i just any one see my photos.

i send the details

i send the details.

i send the file.

It’s Free 🙂

Note: forwarded message attached.

OK ?

Please see the file.

ready to be F**KED 😉

Thank you

The Best Videoclip Ever

VIDEOS! FREE! (US$ 0,00)

What?

You Must View This Videoclip!

Nota: de exemplu, combinatia mesajelor poate fi:

hello, i send the details

Atasament:

(poate fi un executabil sau un executabil codat MIME)

007.pif

04.pif

677.pif

Arab sex DSC-00465.jpg

document.pif

DSC-00465.Pif

DSC-00465.pIf

eBook.PIF

image04.pif

New_Document_file.pif

photo.pif

School.pif

Daca fisierul este codat MIME, poate fi:

3.92315089702606E02.UUE

Attachments[001].B64

Attachments00.HQX

Attachments001.BHX

eBook.Uu

SeX.mim

Sex.mim

Video_part.mim

WinZip.BHX

Word_Document.hqx

Word_Document.uu

In formatul codat MIME, atasamentul poate fi compus dintr-o lista predefinita de siruri de caractere. Fisierul poate fi:

392315089702606E-02

Clipe

Miss

Sweet_09

si extensia poate fi:

.b64

.BHx

.HQX

.mim

.uu

.UUE

Executabilul in codul MIME poate fi:

392315089702606E-02,UUE .scR

Adults_9,zip .sCR

ATT01.zip .sCR

Atta[001],zip .SCR

Attachments,zip .SCR

Attachments[001],B64 .sCr

Clipe,zip .sCr

New Video,zip .sCr

Photos,zip .sCR

SeX,zip .scR

WinZip,zip .scR

WinZip.zip .sCR

Word XP.zip .sCR

Word.zip .sCR

In momentul in care executabilul este rulat (atasamentul din e-mail sau prin alta cale) virusul va actiona astfel:

1. Se copieaza ca unul din urmatoarele fisiere:

(vezi simptomele de mai sus)

%WINDOWS%Rundll16.exe

%SYSTEM%scanregw.exe

%SYSTEM%Update.exe

%SYSTEM%Winzip.exe

2. Creeaza intrari in sectiunea de autorun din registrii:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

„ScanRegistry” = „%SYSTEM%scanregw.exe /scan”]

3. Modifica/seteaza cheile de registrii

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

„WebView” = 0

„ShowSuperHidden” = 0

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCabinetState]

„FullPath” = 1

4. Strange adresele de e-mail din fisierele cu extensiile:

.DBX .EML .HTM .IMH .MBX .MSF .MSG .NWS .OFT .TXT .VCF

de asemenea, cauta in fisierele al caror nume contine cuvintele „CONTENT.” sau „TEMPORARY” adrese de e-mail, dar evita adresele care contin:

@HOTMAIL

@HOTPOP

@YAHOOGROUPS

ANTI

AVG

CA.COM

CILLIN

EEYE

GROUPS.MSN

KASPER

MCAFEE

MICROSOFT

NOMAIL.YAHOO.COM

NORTON

PANDA

SCRIBE

SECUR

SPAM

SYMANTEC

TREND

TRUST

VIRUS

Virusul se va trimite catre adresele colectate, in formatul descris anterior.

5. Scanarea retelelor partajae si propagarea in interiorul lor

Enumera partajarile disponibile si, de asemenea, verifica intrarile “Personal” si “Recent”in

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders]

In folderele descoperite virusul poate inlocui aleator unul din fisiere cu o copie a sa, cu exceptia extensiilor .exe.

Incearca sa se copieze in fisierele partajate din retea sub forma:

New WinZip File.exe

Zipped Files.exe

movies.exe

WINZIP_TMP.exe

Sau sub forma:

C$Documents and SettingsAll UsersStart MenuProgramsStartupWinZip Quick Pick.exe

si sterge

C$Documents and SettingsAll UsersStart MenuProgramsStartupWinZip Quick Pick.lnk

De asemenea, incerca sa stearga fisiere din urmatoarele foldere:

C$Program FilesCAeTrust EZ ArmoreTrust EZ Antivirus

C$Program FilesCommon Filessymantec shared

C$Program FilesKaspersky LabKaspersky Anti-Virus Personal

C$Program FilesKaspersky LabKaspersky Anti-Virus Personal Pro

C$Program FilesMcAfee.comAgent

C$Program FilesMcAfee.comshared

C$Program FilesMcAfee.comVSO

C$Program FilesNavNT

C$Program FilesNorton AntiVirus

C$Program FilesPanda SoftwarePanda Antivirus 6.0

C$Program FilesPanda SoftwarePanda Antivirus Platinum

C$Program FilesSymantecLiveUpdate

C$Program FilesTrend MicroInternet Security

C$Program FilesTrend MicroPC-cillin 2002

C$Program FilesTrend MicroPC-cillin 2003

6. Incearca sa stearga fisiere din „Program Files” sin urmatoarele foldere:

DAP*.dll

BearShare*.dll

SymantecLiveUpdate*.*

SymantecCommon FilesSymantec Shared*.*

Norton AntiVirus*.exe

Alwil SoftwareAvast4*.exe

McAfee.comVSO*.exe

McAfee.comAgent*.*

McAfee.comshared*.*

Trend MicroPC-cillin 2002*.exe

Trend MicroPC-cillin 2003*.exe

Trend MicroInternet Security*.exe

NavNT*.exe

Morpheus*.dll

Kaspersky LabKaspersky Anti-Virus Personal*.ppl

Kaspersky LabKaspersky Anti-Virus Personal*.exe

GrisoftAVG7*.dll

TREND MICROOfficeScan*.dll

Trend MicroOfficeScan Client*.exe

LimeWireLimeWire 4.2.6LimeWire.jar

si

HyperTechnologiesDeep Freeze*.exe

de asemenea, virusul cauta cheii de registri:

SoftwareINTELLANDeskVirusProtect6CurrentVersion

SOFTWARESymantecInstalledApps

SOFTWAREKasperskyLabInstalledProductsKaspersky Anti-Virus Personal

SOFTWAREMicrosoftWindowsCurrentVersionApp PathsIface.exe

SOFTWAREMicrosoftWindowsCurrentVersionUninstallPanda Antivirus 6.0 Platinum

cu scopul de a sterge fisiere.

7. Inchide aplicatiile ale caror ferestre contin unul din sirurile de caractere:

SYMANTEC

SCAN

KASPERSKY

VIRUS

MCAFEE

TREND MICRO

NORTON

REMOVAL

8. Sterge cheile de registri aflate in:

[SoftwareMicrosoftWindowsCurrentVersionRun]

[SoftwareMicrosoftWindowsCurrentVersionRunServices]

care contin urmatoarele sirui de caractere:

APVXDWIN

avast!

AVG_CC

AVG7_CC

AVG7_EMC

AVG7_Run

Avgserv9.exe

AVGW

BearShare

ccApp

CleanUp

defwatch

DownloadAccelerator

kaspersky

KAVPersonal50

McAfeeVirusScanService

MCAgentExe

McRegWiz

MCUpdateExe

McVsRte

MPFExe

MSKAGENTEXE

MSKDetectorExe

NAV Agent

NPROTECT

OfficeScanNT Monitor

PCCClient.exe

pccguide.exe

PCCIOMON.exe

PCCIOMON.exe

PCClient.exe

PccPfw

Pop3trap.exe

rtvscn95

ScanInicio

ScriptBlocking

SSDPSRV

TM Outbreak Agent

tmproxy

Vet Alert

VetTray

VirusScan Online

vptray

VSOCheckTask

9. Trimite autorului notificare despre infectare, conectandu-se la:

„http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=?????”

10. Poate afisa un icon in systray, cu mesajul: „Update Please wait” si, de asemenea, va incerca sa descarce o actualizare a sa.

Sursa: BitDefender

Exit mobile version