Nuwar.AQK

NUWAR.AQK gusano MultiSPAM de correo y HTTP con pernicioso Rootkit, descarga archivos termina procesos, etc.

W32/Nuwar.AQK@mm

Nuwar.AQK es un gusano de correo, residente en memoria reportado el 05 de Septiembre del 2007 de propagación MultiSPAM que supuestamente remite una carta de saludo por el Dia del Trabajo (celebrado en los Estados Unidos) y contiene enlaces a diversos sitios web de compartimiento de videos.

Al hacer clik en el enlace el usuario es llevado a otro sitio web donde reside el archivo con un exploit que es activado inmediatamente.

Termina procesos en ejecución y activa pernicioso Rootkit.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 137KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book).

El mensaje tiene las siguientes características:

Asunto, uno de los siguientes:

A Labor Day E-Card
A Special Greeting
Your E-Greeting is waiting

Contenido:

You have received a holiday greeting, to accept it, please use this link:
http://www.mountaincards.com/greet07/holiday?u9140t3xyv91ottjlw0a
Here is a special greeting, to see it, click here:
http://www.youtube/digcard/laborc?xyv91ottjlw0avh
Please go to our viewing center to recieve your Labor Day greeting:
http://www.myspace.com/07greetings/laborg?k1e1c0prc5aiaastlxr0b4ozhn7cu

Al hacer click en el enlace, se conecta a un sitio web que muestra la siguiente imagen:

y ejecuta automáticamente un exploit llamado labor.exe que copia los siguientes archivos a las rutas:

%System%\spooldr.sys â€“ (componente troyano)
%Windows%\spooldr.exe â€“ (el gusano en sí)

libera también un archivo que es copiado a:

%System%\drivers\tcpip.sys
%Windows%\dllcache\tcpip.sys

El archivo tcpip.sys se auto-ejecuta cada vez que se re-inicie el sistema.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano inicia su rutina de envio masivo de mensajes de correo y termina cualquiera de los siguientes procesos, en caso estuviesen activados:

!update.exe
180ax.exe
180sa.exe
1ClickSpyClean.exe
a.exe
a2antidialer.exe
a2pr.exe
aaupdt.exe
aawservice.exe
AceClubCasino.exe
acefilesearch.exe
aceziprun.exe
actalert.exe
ActiveNetworkMonitor.exe
Ad-PurgeDemo.exe
adaware.exe
AdAway.exe
AdGold.exe
admagic.exe
adsalert.exe
AdsCleaner.exe
adwarebazooka.exe
AdwareDeluxe.exe
AdwarePatrol.exe
adwarepunisher.exe
AdwareSpy4.exe
adwin.exe
AgentSpyware.exe
AGSeiApp.exe
AGuardDogSuiteNT.exe
akl.exe
AKV.exe
alchem.exe
AlertSpy.exe
alevir.exe
AlfaCleaner.exe
alhlp.exe
alogcfg.exe
alsys.exe
am102.EXE
answers.exe
antispam.exe
antispysoldier.exe
antivirusgolden.exe
AntivirusGolden.exe
apc_Admin.exe
App.exe
APS.exe
Armor2net.exe
AS100.exe
ashdisp.exe
ashmaisv.exe
ashserv.exe
ashwebsv.exe
aso.exe
aswupdsv.exe
atlantis.exe
atmclk.exe
AutoUpdateRun.exe
avgagent.exe
avgemc.exe
avkbar.exe
avp.exe
avpm.exe
avsched32.exe
avz.exe
baigoo.exe
bargains.exe
BarMan.exe
BazookaBar.exe
bbchk.exe
bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
bcfilter.sys
bcftdi.sys
bdmcon.exe
bdss.exe
BearShare.exe
BECONFIG.EXE
beta.exe
beyondremotefull.exe
bfk.exe
block-checker.exe
bpk.exe
BPSDataShredder.exe
BPSPopupShld.exe
BraveSentry.exe
cavrid.exe
cavtray.exe
ccapp.exe
ccevtmgr.exe
ccimscan.exe
cclaw.exe
cclgview.exe
ccpxysvc.exe
cfgwiz.exe
clamservice.exe
cole2k_media_toolbar.dll
cpd.exe
cpf.exe
crypserv.exe
dfw.exe
dllhost32.exe
dsentry.exe
EbatesMoeMoneyMaker.exe
edonkey2000.exe
eitcwd.exe
ERS.exe
escorcher.exe
ETDScanner.exe
ethscout.exe
ETMP.exe
eww.exe
EyetideController.exe
f-sched.exe
f-stopw.exe
farsighter.exe
FatBuster.exe
fdd.exe
ferret.exe
fie5344.exe
filtnt.sys
FireWalker.exe
FloboSpywareClean.exe
ForbesAlerts.exe
fpavupdm.exe
freedom.exe
freeprodtb.exe
FroggieScanDemo.exe
fs30.exe
fsav32.exe
fsbl.exe
fsdfwd.exe
fservice.exe
fsm32.exe
ftviewer.exe
fvprotect.exe
fwnet64.exe
gcasdtserv.exe
gcasserv.exe
GeoWhere.2.61.lite.exe
gestionnaire antidote.exe
GetByMail.exe
GiveMeToo.exe
Gnucleus.exe
GoodbyeSpy.exe
GrabBurn.exe
guard.exe
gv.exe
hackmon.exe
HbtOEAddOn.exe
hidownload.exe
HitVirus.exe
hwpe2.exe
iao.exe
icmon.exe
iesplugin.dll
IEWatch20.exe
IncrediMail
inetupd.exe
install.exe
InternetSpy.exe
IntraKey.exe
irsetup.exe
isaddon.dll
isafe.exe
isamini.exe
isamonitor.exe
isass.exe
isclean.exe
ishost.exe
ismini.exe
isnotify.exe
issearch.exe
issvc.exe
itbill.exe
itunesmusic.exe
iwnvod.exe
ixt0.dll
Jimmy Surf.exe
JustRemoteITServer.exe
kav.exe
kavss.exe
kavsvc.exe
KeyLogger.exe
KeyLover21.exe
KillAndClean.exe
klpf.exe
klswd.exe
kpf4ss.exe
little_helper2.exe
livesrv.exe
LoggerConfigurator.exe
lsasrv.exe
lsass32.exe
magiclink.exe
MagPlayer.exe
MailSkinner.exe
Main.exe
MainWnd.exe
MalScr.exe
MalSwep.exe
MalwareDestroyer.exe
MalWhere.exe
mathchk.exe
mcagent.exe
mcshield.exe
mctskshd.exe
MemoryWatcher.exe
MNS.exe
Mob Masher.exe
moni.exe
monifree.exe
MP3Galaxy.exe
mpfirewall.sys
MPPoker.exe
mscornet.exe
msecag.exe
msgsys.exe
MSHUTDOWN.exe
msls32.exe
MsnSniffer.exe
mssearchnet.exe
msssrv.exe
multipl.exe
mupd32.dll
mwsoemon.exe
MWSOEMON.EXE
mytoolbar.dll
MyVideoDaily2.exe
navapp.exe
navstub.exe
navw32.exe
NetCtl.exe
NetPumperIEProxy.exe
Netzip.exe
nisum.exe
Njexplor.exe
NLSupervisorPro.exe
no32mon.exe
nod32krn.exe
nod32ra.exe
norton update.exe
nsmdtr.exe
nstask32.exe
nvctrl.exe
OemjiShare.exe
ofcdog.exe
optimize.exe
outpost.exe
Overseer.exe
OverSpy.exe
P2P Networking.exe
pavfnsvr.exe
pbcpl.exe
PBOptions.exe
PC Scanner.exe
pcacmes.exe
PCagent.exe
PCBusted.exe
pcOrion.exe
pcps.exe
PCSmokingGun2.exe
pctptt.exe
pcwatch.exe
Penguin Panic.exe
personalmoneytree.exe
pesttrap.exe
PestTrap.exe
PestWiper.exe
picx.exe
PKViewer.exe
plook.exe
pmmon.exe
pmsngr.exe
pmuninst.exe
POPUPS~1.EXE
powerscan.exe
ppmemcheck.exe
ppsys.exe
ppv5.exe
PrecisionTime.exe
PrivacyCrusaderDemo.exe
PrivateMailReader.exe
ProcAlert.exe
Pronto.exe
prt.exe
PSFree.exe
pxckdla.exe
qconsole.exe
qpanel.exe
rasautou.exe
RazeSpyware.exe
RCPAdmin.exe
rdriv.sys
Recorder.exe
regbar.exe
RegClean32.exe
Registry Fix.exe
RegistryCare.exe
RegistrySweeper.exe
regresc.exe
RemedyAntispy.exe
removeit.exe
RepSvc.exe
RFManager.exe
rpcsetup.exe
rrtcany.dll
rtvscan.exe
RunBackGammon.exe
RunBingo.exe
Safewebsurfer.exe
sandbox.sys
sandboxieserver.exe
SAR.exe
SaveMyWork.exe
savscan.exe
sb32mon.exe
sbserv.exe
sbsse.exe
Scan&Repair2006.exe
Scanner.exe
scanregw.exe
Scrabble.exe
Sd2006.exe
SecCon.exe
Secret Spy.exe
Security iGuard.exe
SeeStat.exe
serv.exe
service.exe
service32.exe
SGFwSvc.exe
showbar.exe
ShowBehind.exe
sidefind.exe
SK60.exe
skin2000.exe
sks32proc.exe
SlimShield.exe
slman.exe
SmileySource.exe
smoke.exe
smpcpro.exe
smss32bk.exe
SnackMan.exe
sndsrvc.exe
Snoop.exe
SnowballWars.exe
sp_rsser.exe
Sp0.exe
spamihilator.exe
spampal.exe
spbbcsvc.exe
Spedia.exe
Spy Cleaner Gold.exe
Spy Cleaner Platinum.exe
SpyAOL.exe
SpyBro.exe
spycl4.exe
SpyFighter.exe
SpyGraphica.exe
SpyHeal.exe
SpyHunter.exe
SpyiBlock.exe
Spyinator.exe
SpyKiller.exe
SpyLax.exe
SpyMon.exe
SpyOnThis.exe
SpyPry.exe
SpyReaperProDemo.exe
spyrem.exe
spyshield.exe
SpySniper.exe
SpySpotter.exe
SpySub.exe
Spytector.exe
spytrooper.exe
SpyTrooper.exe
SpyViperProDemo.exe
Spyware_Annihilator.exe
SpywareBot.exe
SpywareDetector.exe
SpywareDisinfector.exe
SpywareQuake.exe
spywareremovalwizard.exe
SpywareRemover.exe
SpywareSlayer.exe
SpywareStormer.exe
SSDemo.exe
sservice.exe
Ssk.exe
ssp.exe
sss.exe
StaffCop.exe
stardialer.exe
StartPoker.exe
stinger.exe
STMonitor.exe
story.exe
sunshinebingo.exe
Surfkeeper.exe
sv.exe
svcmon.exe
swatcher.exe
swdoctor.exe
swnxt.exe
symwsc.exe
syscfg32.exe
sysd.exe
sysformat.exe
syslog.exe
Syslogin.exe
sysmgr32.exe
sysmgr64.exe
system.exe
taskdir.exe
tasker.exe
titanshield.exe
tmoagent.exe
Toolbar_cobrand.EXE
ToolKeylogger.exe
TopSearch.exe
tpcl.exe
truedownloader.exe
TrustCleaner.exe
TTBSETUP.exe
TVS_B.exe
TWAB5.exe
u88.exe
UDC2006.exe
uert.exe
UltraKeyboard.exe
UnSpyPC.exe
update.bat
updsvc.exe
userinit32.exe
usrprmpt.exe
USYP.exe
UTviewer.exe
VCatch.exe
vcehaeb.dll
vetmsg.exe
vetmsg9x.exe
vettray.exe
view.exe
viewer.exe
VIRTUESCOPE.exe
VirusRescue.exe
vptray.exe
vsdatant.sys
was6.exe
watchdog.sys
wcantispy.exe
weather.exe
Weather.exe
webrebates.exe
websnitch.exe
wfdmgr.exe
whspeedrank.exe
WICleaner.exe
win16dll.exe
WinAV.exe
wincom32.sys
wincp.exe
windll.exe
winlogin.exe
winlogons.exe
winlogonsys.exe
WinPass.exe
WinSL.exe
winsrv32.exe
wmsmod32.exe
wnames.exe
wnetmgr.exe
words.exe
WorldAntiSpy.exe
wrclock.exe
ws.exe
wslogger.exe
WSMDI.exe
WTRTrial.exe
wupdt.exe
X-Con Spyware Destroyer.exe
xcommsvr.exe
xfr.exe
Xolox.exe
xp-antispy.exe
xSpyware.exe
zango.exe
ZangoAstrology.exe
ZangoTVTimes.exe
zapspot.exe
zclient.exe
zcodec.exe
ZComService.exe
zilla.exe
ZipItFast.exe
zlara.dll

Luego activa su Rootkit en modo oculto, cambiando de carpetas y unidades lógicas, para impedir ser capturado por los antivirus.

PER ANTIVIRUS® versión 10.2 con registro de virus al 05 de Septiembre del 2007 detecta y elimina eficientemente este gusano.