|
W32/Nuwar.JQ
Nuwar.JQ es un gusano residente en memoria, reportado el 03 de Abril del 2008 propagado a través de mensajes MultiSPAM, con direcciones y asuntos extraídoss del sistema, y cuyo contenido tiene un enlace de descarga de sí mismo.
Crea un archivo de configuración que controla puertos UDP aleatorios, a través de los cuales decarga un archivo infectado.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado y compilado en Visual C++, con una extensión de 137KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ingresar a un sistema se copia a la carpeta %Windir% con el nombre de aromis.exe y libera en ese mismo directorio el archivo aromis.config, el cual contiene la siguientes cadenas:
[config]
[local]
uport=[Puerto_UDP_aleatorio]
[peers],br> [valor_hash]=[dirección_IP_de_peer][puerto_de_destino]
para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"aromis" = "%Windir%\aromis.exe"
Como parte de su rutina de instalación crea las siguientes llaves:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer = "time.windows.com,time.nist.gov"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type" = "NTP"
Al siguiente inicio del equipo, el gusano inicia su rutina de envio MutltiSPAM tomando las direcciones de correo del sistema infectado, así como conformando en forma aleatoria los asuntos de los mensajes. El contenido tiene un enlace a un sitio donde descarga una copia de sí mismo.
Haciendo uso del aromis.config que controla en forma aleatoria puertos UDP, se conecta a sitios web desde los cuales descarga al direcorio %Windir% el archico infectado testdll_f.dll
PER ANTIVIRUS® versión X4 con registro de virus al 03 de Abril del 2008 detecta y elimina este gusano.
