|
Termina procesos de antivirus, firewalls y software de control, deshabilita el Firewall de Windows y el Acceso Compartido al sistema.
Es un PE (Portable Ejecutable) infecta Windows 95/98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 15KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:
También extrae direcciones de la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name] que correspode a la la Libreta de Direcciones de Windows.
Los mensajes tienen las siguientes características:
Remitente: emplea la técnica Spoofing, para disfrazar las direcciones de los remitentes usando los siguientes nombres:
Asunto, uno de los siguientes:
Contenido, uno de los siguientes:
Anexado, cualquiera de los siguientes:
Al ser activado se copia a siguientes las rutas con los nombres de archivos:
y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nord" = "%System%\nordsys.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Nord" = "%System%\nordsys.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
para deshabilitar el Firewall de Windows y el Acceso Compartido al sistema crea la llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "4
al siguiente inicio del equipo el gusano termina los procesos de los siguientes software de seguridad:
PER ANTIVIRUS® versión 9.9 con registro de virus al 05 de Diciembre del 2006 detecta y elimina este gusano.
