SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Sábado 14 de Abril de 2007, 00:23
-
Información extraida de Alerta-Antivirus (http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6785)
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:13-04-2007
Última Actualización:13-04-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Nurech.Z@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32/Nurech.Z.worm (Panda Software)
Detalles
Metodo de Infección
Nurech.Z crea los siguientes archivos en el directorio de sistema de Windows:
* WINCOMS32.SYS y WINDEV-2E7B-394.SYS. Estos archivos corresponden al rootkit Nurech.B.
* WINDEV-PEERS.INI, en el que aparece el listado de direcciones a las que no enviar los mensajes de correo electrónico.
* WINCOM32.INI, en el que se incluye el listado de procesos que finaliza.
Método de Propagación
Nurech.Z se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
* Llega al ordenador en un mensaje de correo con las siguientes características:
Remitente:
Las direcciones desde la que es enviado contienen un alias que parece provenir de una fuente de confianza:
Customer Support
Asunto: es variable, y puede ser uno de los siguientes:
ATTN!
Spyware Alert!
Spyware Detected!
Trojan Alert!
Trojan Detected!
Virus Activity Detected!
Virus Alert!
Virus Detected!ected!
Warning!
Worm Activity Detected!
Worm Detected!
Contenido: incluye una imagen como la siguiente con un texto y una contraseña para poder descomprimir el archivo adjunto:
(http://www.pandasoftware.com/img/enc/W32NurechZworm_img1.gif)
Imagen de Panda Software
Archivo adjunto: está comprimido con una contraseña que se proporciona en el mensaje y puede ser uno los siguientes:
BUGFIX-%5 caracteres aleatorios%.ZIP
HOTFIX-%5 caracteres aleatorios%.ZIP
PATCH-%4 caracteres aleatorios%.ZIP
REMOVAL-%5 caracteres aleatorios%.ZIP
* El ordenador es afectado cuando se ejecuta el archivo adjunto.
* Nurech.Z busca direcciones de correo electrónico en el ordenador afectado.
* Nurech.Z envía una copia de sí mismo a las direcciones que ha recogido.
* Sin embargo, Nurech.Z no se envía a ninguna dirección que contenga alguno de los siguientes dominios, entre otros:
GOV
MIL
Otros Detalles
Nurech.Z tiene un tamaño aproximado de 40000 Bytes.