Nuwar.AQL

NUWAR.AQL gusano MultiSPAM de correo y HTTP con pernicioso Rootkit, descarga archivos termina procesos, etc.

© Jorge Machado Lima-Perú

W32/Nuwar.AQL@mm

Nuwar.AQL es un gusano de correo residente en memoria reportado el 06 de Septiembre del 2007 de propagación MultiSPAM que contiene enlaces aleatorios a determinados URL's.

Al hacer clik en el enlace el usuario es llevado a otro sitio web donde reside el archivo con un exploit que es activado inmediatamente.

Termina procesos en ejecución y activa pernicioso Rootkit.

Infecta únicamente a Windows XP con Service Pack 2 y a Server 2003, está desarrollado en Visual C++, con una extensión de 138KB y no se encuentra encriptado.

El mensaje tiene las siguientes características:

Asunto: What you do online is no longer private

Contenido:

If you trade files online, they are watching what you do. If the RIAA finds you they will come after you. Our program will keep them from finding you. This software is made available free, so that we can keep the internet free and private. Download Tor.

El mensaje tiene un enlace aleatorio hacia determinados URL.

Al hacer click en el enlace, se conecta a un sitio web que muestra la siguiente imagen:

y ejecuta automáticamente un exploit que copia los siguientes archivos a las rutas:

%System%\spooldr.sys (componente troyano)
%Windows%\spooldr.exe (copia del gusano)

libera también un archivo que es copiado a:

%System%\drivers\tcpip.sys
%Windows%\dllcache\tcpip.sys

El archivo tcpip.sys se auto-ejecuta cada vez que se re-inicie el sistema.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano inicia su rutina de envio masivo de mensajes de correo y termina cualquiera de los siguientes procesos, en caso estuviesen activados:

Luego activa su Rootkit en modo oculto, cambiando de carpetas y unidades lógicas, para impedir ser capturado por los antivirus.

PER ANTIVIRUS® versión 10.2 con registro de virus al 06 de Septiembre del 2007 detecta y elimina eficientemente este gusano.