|
W32/Neroma.B@mm, W32/Nemora.B@mm, I.worm.neroma.b@mm
Neroma.B es un destructivo gusano, variante del Neroma, reportado el 06 de Septiembre del 2003, de propagación masiva a través mensajes de correo con un Asunto relacionado al luctuoso incidente del 11 de Septiembre, ocurrido en los Estados Unidos y un archivo anexado de nombre Nrs.exe.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en MS Visual Basic y requiere que los sistemas a infectar tengan instalada la librería MSVBVM60.DLL.
Está desarrollado en Visual Basic, con una extensión de 5 KB y comprimido, al igual que su cabecera, con el utilitario UPX (Ultimate Packer for eXecutables):
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.
El mensaje de correo tiene la siguiente característica:
Algunas versiones de navegadores pueden mostrar el archivo anexado como 119.gif.
Al ser ejecutado, el gusano se auto-copia al directorio %Windir%
con el nombre de Nrs.exe
y para activarse la
próxima vez que se re-inicie el sistema modifica la siguiente llave de
registro en los sistemas basados en la tecnología Windows NT:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Run]
"Winlogon"
= "%Windir%\Nrs.exe"
El gusano modifica el archivo SYSTEM.INI
para activarse al reiniciarse en Windows 95/98/Me:
WIN.INI
[boot]
shell = Explorer.exe Nrs.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
El gusano borra todos los archivos del directorio de Windows los días 1, 4, 8, 12, 16, 20, 24 y 28 de cada mes.
Dentro del código del virus se puede leer la siguiente cadena de texto:
| This is a Second Variant of Nemora 911. |
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.2 con registro de virus al 08 de Septiembre del 2003 detecta y elimina eficientemente este gusano.
