• Viernes 29 de Marzo de 2024, 06:22

Autor Tema:  Nixem.aj  (Leído 1881 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Nixem.aj
« en: Jueves 26 de Enero de 2006, 22:44 »
0
Peligrosidad: 3 - Media  
Difusión: Baja
Fecha de Alta:26-01-2006
Ultima Actualización:26-01-2006
Daño:  Alto
[Explicación de los criterios]
Dispersibilidad:  Alto
Nombre completo: Worm.W32/Nixem.AJ@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño comprimido (bytes): 65024
Alias:WORM_NYXEM.AJ (Trend Micro), W32/Nyxem.F@mm (PerAntivirus)
Detalles
Instalación

Cunado se instala, se copia en las siguientes rutas con los nombres indicados a continuación:


%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
Crea la siguiente entrada en el registro indicado para ejecutarse en cada reinicio del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.


Propagación por Correo

Utiliza su propio motor de envío SMTP (Simple Mail Transfer Protocol) para propagarse en mensajes con las siguientes características:

Asunto: Será uno de los siguientes:


The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos
Contenido:, uno de los siguientes:


Note: forwarded message attached.
Hot XXX Yahoo Groups
Fuckin Kama Sutra pics
ready to be F*CKED ;)
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
Please see the file.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)
how are you?
i send the details.
OK ?
Adjunto:uno de los siguientes nombres con una segunda extensión .ZIP:


007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
DSC-00465.pIf
Aleatoriamente el gusano codifica los archivos con el formato MIME (Multi-Purpose Internet Mail Extensions) con los siguientes nombres:


Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu
Siendo los nombres de los archivos dentro de los codificados los siguientes:


New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR
Las direcciones sobre las que se propaga son obtenidas desde los ficheros con las siguientes extensiones:


htm
dbx
eml
msg
oft
nws
vcf
mbx
imh
txt
msf
Evitando enviarse a las direcciones que tengan las siguientes cadenas:


symantec
mcafee
virus
trend
panda
secur
spam
norton
anti
cillin
ca.com
kasper
trust
avg
groups.msn
nomail.yahoo.com
scribe
eeye
microsoft
@hotmail
@hotpop
@yahoogroups
Al siguiente inicio del equipo ejecuta su rutina de envío de mensajes de correo y deshabilita los siguientes programas, en caso estar presentes, al borrar los valores de sus llaves de registro:


NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
Las claves modificadas son:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

Adicionalmente el gusano borra los archivos de las sub-carpetas de la carpeta \Archivos de programa:


\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\Morpheus\*.dll
El gusano lee además la ubicación de determinados programas ubicados en el registro de Windows y procede a borrar los siguientes:


VirusProtect6
Norton AntiVirus
Kaspersky Anti-Virus Personal
Iface.exe
Panda Antivirus 6.0 Platinum
Cierra también las ventanas de de las aplicaciones con cualquiera de las siguientes cadenas:


SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
El gusano altera las siguientes llaves de registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath" = dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView" = dword:00000000

Modifica los archivos del Escritorio Activo para ejecutar una copia de sí mismo de nombre WinZip_Tmp.exe usando los Controles ActiveX.

Para propagarse en las carpetas con recursos compartidos intenta copiarse a sí mismo a las rutas y con los nombres:


\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Antes de propagarse verifica las computadoras remotas con una de las siguientes carpetas y de hallarlas borra todos los archivos contenidos en las mismas:


\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
El gusano crea también una tarea que programa para que sea ejecutado en las computadoras remotas con privilegios, en el minuto 59 de la hora vigente.

Así mismo si la fecha es igual al día 3 de cada mes, al ejecutar el archivo UPDATE.EXE del gusano, los archivos de todas las unidades de disco con las siguientes extensiones, serán destruidos:


*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp

 
Nombres de Ficheros Adjuntos (virus que llegan por correo)
WinZip,zip.scR
Video_part.mim
Sex.mim
SeX,zip.scR
School.pif
photo.pif
Photos,zip.sCR
New_Document_file.pif
New Video,zip
image04.pif
eBook.PIF
DSC-00465.Pif
document.pif
Clipe,zip.sCr
Attachments[001],B64.sCr
ATT01.zip.sCR
Adults_9,zip.sCR
677.pif
392315089702606E-02,.scR
007.pif
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
 
Asunto del mensaje (virus que llegan por correo)
Part 1 of 6 Video clipe
the file
eBook.pdf
Word file
Fw: DSC-00465.jpg
Fw: Picturs
Fw:
Re:
Fw: Sexy
Fwd: image.jpg
Fwd: Photo
Fw: Funny :)
*Hot Movie*
give me a kiss
Arab sex DSC-00465.jpg
Fuckin Kama Sutra pics
A Great Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos
 
El pasado son solo recuerdos, el futuro son solo sueños