Nuwar.BH

NUWAR.BH gusano de Correo termina procesos de antivirus, deshabilita firewall de Windows y acceso compartido.

W32/Nuwar.BH

Nuwar.BH es un gusano reportado el 01 de Enero del 2007 residente en memoria, que se propaga a través de mensajes de Correo, con Remitentes falsos, asunto, contenido en blanco y archivo anexado con un solo formato.

Termina procesos de antivirus, firewalls y software de control, deshabilita el Firewall de Windows y el Acceso Compartido al sistema.

Es un PE (Portable Ejecutable) infecta Windows 98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 17KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo extraidas de la Libreta de Direcciones de Windows (WAB) o usando uno de los siguientes nombres:

Aldora
Alysia
Amorita
Anita
April
Aretina
Barbra
Becky
Bella
Bettina
Blenda
Briana
Bridget
Caitlin
Camille
Carla
Carmen
Chelsea
Clarissa
Damita
Danielle
Daria
Diana
Donna
Doris
Ebony
Eliza
Emily
Erika
Evelyn
Faith
Gilda
Gloria
Haley
Helga
Holly
Idona
Isabel
Ivana
Ivory
Janet
Jewel
Joanna
Julie
Juliet
Kacey
Kassia
Katrina
Laura
Linda
Lolita
Melody
Nadia
Naomi
Natalie
Nicole
Olivia
Pamela
Peggy
Queen
Rachel
Sharon
Silver
Valda
Valora
Vanessa
Vicky
Violet
Vivian
Wendy
Willa
Xandra
Xenia
Xylia
Zenia
Zilya

seguidos del dominio de correo del Remitente.

Los mensajes tienen las siguientes características:

Remitente: emplea la técnica Spoofing, para disfrazar las direcciones de los remitentes usando los siguientes nombres:

Asunto: Happy New Year!

Contenido: [en_blanco]

Anexado: postcard.exe

Al ser activado se copia a siguientes a la carpeta %System% con el nombre de Alsys.exe además de un archivo de nombre aleatorio eon extensión .EXE

y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"agent" = "%System%\alsys.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"agent = "%System%\alsys.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para deshabilitar el Firewall de Windows y el Acceso Compartido al sistema crea la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "3"

al siguiente inicio del equipo el gusano termina los procesos de los siguientes software de seguridad:

blackice
f-pro
firewall
hijack
lockdown
mcafee
msconfig
nod32
reged
taskmgr
troja
vsmon
zonea
zpybot

PER ANTIVIRUS® versión 9.9 con registro de virus al 01 de Enero del 2007 detecta y elimina este gusano.