Nyxem.F

NYXEM.F destructivo gusano de correo recursos compartidos deshabilita antivirus borra y destruye archivos.

W32/Nyxem.F@mm, I.worm.Nyxem.F@mm, W32/Kamasutra@mm

Nyxem.F es un destructivo gusano residente en memoria reportado el 26 de Enero del 2006, que se propaga a través de mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados aleatorios.

Infecta Windows NT, 2000, XP, Server 2003, está desarrollado en MS Basic, con una extensión de 94 KB y compilado como "pseudo-código" (p-code) y que al ser ejecutado abre un falso WinZip que bloquea el teclado y el mouse.

Deshabilita antivirus y software de seguridad, borra y destruye archivos de determinadas carpetas.

Se propaga además vía recursos compartidos de red con atributos ocultos y privilegios.

Extrae los buzones de las carpetas cache del Internet Explorer con las extensiones:

evitando enviarse a las direcciones que tengan las siguientes cadenas:

symantec
mcafee
virus
trend
panda
secur
spam
norton
anti
cillin
ca.com
kasper
trust
avg
groups.msn
nomail.yahoo.com
scribe
eeye
microsoft
@hotmail
@hotpop
@yahoogroups

haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguiente características:

Asunto:

The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos

Contenido, uno de los siguientes:

Note: forwarded message attached.
Hot XXX Yahoo Groups
Fuckin Kama Sutra pics
ready to be F*CKED ;)
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
Please see the file.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)
how are you?
i send the details.
OK ?

Anexado, uno de los siguientes con extensión ZIP:

007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
DSC-00465.pIf

Aleatoriamente el gusano codifica los archivos con el formato MIME (Multi-Purpose Internet Mail Extensions) con los nombres:

Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu

siendo los nombres de los archivos dentro de los codificados los siguientes:

New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR

Al activarse el gusano se copia a las siguientes rutas y con los nombres:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe

y para ejecutarse la próxima vez que se re-inicie el sistema agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo ejecuta su rutina de envío de mensajes de correo y deshabilita los siguientes programas, en caso estar presentes, al borrar los valores de sus llaves de registro:

NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare

Las llaves afectadas son:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

Adicionalmente el gusano borra los archivos de las sub-carpetas de la carpeta \Archivos de programa:

\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\Morpheus\*.dll

el gusano lee además la ubicación de determinados programas ubicados en el registro de Windows y procede a borrar los siguientes:

VirusProtect6
Norton AntiVirus
Kaspersky Anti-Virus Personal
Iface.exe
Panda Antivirus 6.0 Platinum

Cierra también las ventanas de de las aplicaciones con cualquiera de las siguientes cadenas:

SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX

El gusano altera las siguientes llaves de registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath" = dword:00000001
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = dword:00000000
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView" = dword:00000000

y modifica los archivos del Escritorio Activo para ejecutar una copia de sí mismo de nombre WinZip_Tmp.exe usando los Controles ActiveX.

Para propagarse en las carpetas con recursos compartidos intenta copiarse a sí mismo a las rutas y con los nombres:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe

simultáneamente borra el archivo de la ruta:

\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

antes de propagarse verifica las computadoras remotas con una de las siguientes carpetas y de hallarlas borra todos los archivos contenidos en las mismas:

\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

el gusano crea también una tarea que programa para que sea ejecutado en las computadoras remotas con privilegios, en el minuto 59 de la hora vigente.

así mismo si la fecha es igual al día 3 de cada mes, al ejecutar el archivo UPDATE.EXE del gusano, los archivos de todas las unidades de disco con las siguientes extensiones, serán destruidos:

*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp

el contenido de los archivos es reemplazado con la cadena de texto: "DATA Error [47 0F 94 93 F4 K5]" y cuyo efecto es ejecutado cada 30 minutos después que el archivo UPDATE.EXE del gusano es cargado en la memoria.

A continuación mostramos el código fuente parcial de este simple gusano que provocó mucha alarma por diversos medios de comunicación:

Y su rutina de infección los días 3 de cada mes:

PER ANTIVIRUS® versiones 9.5 y 9.6 con registro de virus al 26 de Enero del 2006 detectan y eliminan este gusano/backdoor.