FAQ
F.A.Q.
Domande - Risposte
Win32.Nyxem.e
Internet Provider
Software
Home Page
Internet Provider
Mail Marketing
mail marketing
Preventivi
preventivi Internet
Supporto
supporto tecnico
Sms Web
sms da web
Download
download
Corsi Aziendali
corsi
Lavoro
lavoro
Pagamenti
pagamenti
Condizioni
Internet Provider
 
FAQ
faq
News
news
Applicativi asp
Motomania

Win32.Nyxem.e

Il worm si diffonde inviando messaggi di posta elettronica con allegati infetti. L’invio dei messaggi avviene attraverso un proprio motore SMTP (Simple Mail Transfer Protocol). Il worm viene riconosciuto anche con i seguenti nomi

WORM_GREW.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi, Blackmal.E

Dettagli tecnici

Quando viene eseguito l’allegato infetto, il worm crea delle copie di se stesso usando uno dei seguenti nomi e percorsi

* %Windir%\Rundll16.exe
* %SysDir%\scanregw.exe
* %SysDir%\Winzip.exe
* % SysDir%\Update.exe
* % SysDir%\WINZIP_TMP.EXE
* % SysDir%\SAMPLE.ZIP
* % SysDir%\New WinZip File.exe
* movies.exe
* Zipped Files.exe

Dove le variabili simboliche %WinDir% e %SysDir% rappresentano rispettivamente il percorso delle cartelle predefinite di Windows e di Sistema.
Inoltre, il worm crea un file ZIP vuoto con lo stesso nome usato per creare i file nella cartella di sistema di Windows.
Per venire eseguito in automatico ad ogni avvio di Windows, il worm crea il valore

"ScanRegistry" = "scanregw.exe /scan"

nella chiave di Registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Inoltre, il worm modifica altri valori nel Registro

"WebView" = "0"
" ShowSuperHidden" = "0"

nella chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"FullPath" = "0"

nella chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

Quindi modifica gli elementi trovati sotto la seguente chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses

Il worm cancella anche una serie di file, se presenti sul sistema

* %Programmi%\Alwil Software\Avast4\*.exe
* %Programmi%\BearShare\*.dll
* %Programmi%\DAP\*.dll
* %Programmi%\Grisoft\AVG7\*.dll
* %Programmi%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
* %Programmi%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
* %Programmi%\LimeWire\LimeWire 4.2.6\LimeWire.jar
* %Programmi%\McAfee.com\Agent\*.*
* %Programmi%\McAfee.com\shared\*.*
* %Programmi%\McAfee.com\VSO\*.exe
* %Programmi%\Morpheus\*.dll
* %Programmi%\NavNT\*.exe
* %Programmi%\Norton AntiVirus\*.exe
* %Programmi%\Symantec\Common Files\Symantec Shared\*.*
* %Programmi%\Symantec\LiveUpdate\*.*
* %Programmi%\Trend Micro\Internet Security\*.exe
* %Programmi%\Trend Micro\OfficeScan Client\*.exe
* %Programmi%\TREND MICRO\OfficeScan\*.dll
* %Programmi%\Trend Micro\PC-cillin 2002\*.exe
* %Programmi%\Trend Micro\PC-cillin 2003\*.exe

Il worm consulta il contenuto dei valori

"Home Directory"
" NAV"
" Folder"
" InstallLocation"

all’interno delle seguenti chiavi di Registro

HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

quindi cancella tutti i file .exe trovati nelle cartelle estrapolate dai precedenti valori
Viene letto anche il valore

"Folder"

nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal

allo scopo di cancellare tutti i file trovati nella cartelle individuate nei valori di Registro.
Infine, il worm consulta il valore

"Path"

nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe

quindi cancella tutti i file *.exe e *.ppl nella cartelle estrapolate dal Registro.
Vengono chiuse tutte le finestre di programmi attivi che contengono nel titolo una delle seguenti stringhe

* FIX
* KASPERSKY
* MCAFEE
* NORTON
* REMOVAL
* SCAN
* SYMANTEC
* TREND MICRO
* VIRUS

Il worm cancella i valori

PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
Tmproxy
McAfeeVirusScanService
NAVAgent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TMOutbreakAgent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
VetAlert
VetTray
OfficeScanNTMonitor
avast!
DownloadAccelerator
BearShare

dalle seguenti chiavi di Registro

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Per trovare gli indirizzi e-mail ai quali inviare dei messaggi infetti, il worm effettua una ricerca all’interno di tutti i file che presentano le seguenti estensioni

.htm
.dbx
.eml
.msg
.oft
.nws
.vcf
.mbx
.imh
.txt
.msf

Gli indirizzi vengono ricercati anche all’interno di file che contengono una delle seguenti stringhe nel proprio nome

* CONTENT.
* TEMPORARY

Il worm invia le e-mail infette usando un proprio motore SMTP. Le e-mail presentano le caratteristiche che seguono
Oggetto: uno dei seguenti

* *Hot Movie*
* A Great Video
* Fw:
* Fw: DSC-00465.jpg
* Fw: Funny :)
* Fw: Picturs
* Fw: Real show
* Fw: SeX.mpg
* Fw: Sexy
* Fwd: Crazy illegal Sex!
* Fwd: image.jpg
* Fwd: Photo
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Photos
* Re:
* School girl fantasies gone bad

Messaggio: uno dei seguenti

* Note: forwarded message attached. You Must View This Videoclip!
* >> forwarded message
* Re: Sex Video
* i just any one see my photos.
* It's Free :)
* The Best Videoclip Ever
* Hot XXX Yahoo Groups
* Fuckin Kama Sutra pics
* ready to be FUCKED ;)
* forwarded message attached.
* VIDEOS! FREE! (US$ 0,00)
* What?
* i send the file.
* Helloi attached the details.
* Thank you
* the file i send the details
* hello,
* Please see the file.
* how are you?
* i send the details.

Allegato: un nome scelto nella seguente lista

* 007.pif
* 392315089702606E-02,.scR
* 677.pif
* Adults_9,zip.sCR
* Arab sex DSC-00465.jpg
* ATT01.zip.sCR
* Attachments[001],B64.sCr
* Clipe,zip.sCr
* document.pif
* DSC-00465.Pif
* DSC-00465.pIf
* eBook.pdf
* eBook.PIF
* image04.pif
* New Video,zip
* New_Document_file.pif
* photo.pif
* Photos,zip.sCR
* School.pif
* SeX,zip.scR
* Sex.mim
* Video_part.mim
* WinZip,zip.scR
* WinZip.BHX
* WinZip.zip.sCR
* Word XP.zip.sCR
* Word.zip.sCR
* 04.pif
* DSC-00465.Pif
* DSC-00465.pIf
* image04.pif

Gli allegati possono essere dei file eseguibili o un file codificato MIME (Multipurpose Internet Mail Extension) che al suo interno contiene un file eseguibile. Gli allegati con formato MIME possono avere i seguenti nomi:

* 3.92315089702606E02.UUE
* Attachments[001].B64
* Attachments00.HQX
* Attachments001.BHX
* eBook.Uu
* Original Message.B64
* Sex.mim
* SeX.mim
* Video_part.mim
* WinZip.BHX
* Word_Document.hqx
* Word_Document.uu

I nomi dei file vengono anche creati usano una speciale combinazione, che impiega i seguenti nomi

* 392315089702606E-02
* Clipe
* Miss
* Photos
* Sweet_09

combinati con estensioni selezionate nella lista che segue

* .b64
* .BHx
* .HQX
* .mim
* .uu
* .UUE
* .XxE

Se l’allegato e in formato MIME, contiene un file eseguibile con un nome scelto nel seguente elenco

* 392315089702606E-02,UUE[BLANK SPACES].scr
* Adults_9,zip[BLANK SPACES].scr
* ATT01.zip[BLANK SPACES].scr
* Atta[001],zip[BLANK SPACES].scr
* Attachments,zip[BLANK SPACES].scr
* Attachments[001],B64[BLANK SPACES].scr
* Clipe,zip[BLANK SPACES].scr
* New Video,zip[BLANK SPACES].scr
* Photos,zip[BLANK SPACES].scr
* SeX,zip[BLANK SPACES].scr
* WinZip,zip[BLANK SPACES].scr
* WinZip.zip[BLANK SPACES].scr
* Word XP.zip[BLANK SPACES].scr
* Word.zip[BLANK SPACES].scr

Il worm tenta di diffondersi anche nelle cartelle di rete condivise in una LAN, cercando cartelle con i seguenti nomi, dove tentera di copiare se stesso usando il nome WINZIP_TMP.EXE:

* ADMIN$
* C$

Vengono attaccate anche le condivisioni protette con password deboli, dove il worm prova a copiare se stesso usando lo stesso nome menzionato sopra.
Il worm tenta di accedere a un indirizzo Internet che corrisponde a un programma CGI (Common Gateway Interface) presente su un sito web.

Payload

Il worm contiene un payload (effetto distruttivo per i dati) pericoloso. Se la data del sistema corrisponde al terzo giorno del mese (3 febbraio, 3 marzo, ecc.) e viene eseguito il file del worm con nome UPDATE.EXE, quest'ultimo sovrascrive il contenuto di tutti i file con le estensioni incluse nella seguente lista presenti su tutti i drive del computer

*.doc *.xls *.mdb *.mde *.ppt *.pps *.zip *.rar *.pdf *.psd *.dmp

Il contenuto dei file viene sostituito con la stringa di testo "DATA Error [47 0F 94 93 F4 K5]". Il payload viene attivato circa 30 minuti dopo che il file UPDATE.EXE e stato eseguito sul computer infetto, ovvero circa mezz'ora dopo che e stata effettuata la procedura di login al sistema.

 

programma di rimozione gratuito  http://space.gdata.de/dl_avk/remover/remover.exe


faq Indietro

 
Home | Chi Siamo | Contatti | Internet Provider | Software House | Active Web | Web Marketing | SMS | Realizzazioni | Preventivi | Supporto | Lavoro | Condizioni
RD Informatica - Str. Rupola 14 - 61122 Pesaro PU - Tel 0721 206238 Fax 0721 1835042 P.Iva 01241970415 - info@rdinformatica.com 
Estrattore Pagine Gialle
Applicativi asp
RD
Applicativi asp
Internet provider
Software House
Applicativi asp
SMS Web
Software SMS
Mailing Project