|
W32/Nuwar.ARC
W32/Nuwar.ARC es un gusano/rootkit residente en memoria reportado el 14 de Octubre del 2007 que se propaga visitando determinados sitios web infectados o en mensajes de correo electrónico MultiSPAM que simulan contener una tarjeta de saludo y son remitidos desde dominios reales que brindan ese tipo de servicios, pero cuyos nombres han sido trucados.El contenido tiene un enlace a determinados URLs desde los cuales descargarán un archivo infectado de nombre SuperLaugh.exe.
Su componente Rootkit deshabilita antivirus instalados.
Infecta a Windows 98/Me/2000/XP y Server 2003, está esarrollado con MS Visual C+++ con una extensión de 117.5KB y comprimido con el utilitario ASPack:
Al activarse se copia a:
el gusano libera los siguientes archivos en las rutas:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"agent" = "%System%\spooldr.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"agent" = "%System%\spooldr.exe"
Al siguiente inicio del equipo, el gusano
ejecuta su componente Rootkit
para deshabilitar en forma oculta los antivirus que se
encuentren instalados en el sistema infectado, e inicia su rutina de envío
de mensajes de correo MultiSPAM.
Finalmente se conecta una extensa relación de direcciones IP desde las
cuales intenta descargar el archivo SuperLaugh.exe
PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 14 de Octubre del 2007 detectan y eliminan este gusano/rootkit.
