W32/Nicehello@MM
Adatlap
- Felfedezés dátuma: 2003. 03. 10.
- Eredet: Ismeretlen
- Hossz: 99 328 bájt
- Típus: Vírus
- Altípus: E-mail féreg
- Minimális DAT: 4252
- Minimális keresőmotor: 4.1.60
Előfordulás valószínűsége
- Vállalati környezet: Alacsony-közepes
- Otthoni felhasználók: KÖZEPES
Tulajdonságok:
Ez a tömeges levelezéssel terjedő programféreg az MSN Messenger címjegyzékében található összes e-mail címre továbbítja magát. Emellett a vírus készítőjének is elküldi az MSN Mesenger felhasználónevét és jelszavát, szintén e-mailben. A vírus számos hibát tartalmaz, de a Windows angol nyelvű verzióinál biztosan működik a kódok továbbításáért felelős rutin. Az e-mail a következő tárgy/üzenet variánsokban érkezhet:
Tárgy: Animaciones en flash de nuestros politicos
Üzenet: Mira las animacio nes sobre la clase politica del pais, recuerda que es solo para vos
Melléklet: Politicos.exe
vagy
Tárgy: Video de la ultima reunion de amigos, recuerda que es solo para vos
Üzenet: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo que es solo para vos es algo, recuerda
Melléklet: Video.exe
vagy
Tárgy: Fotos ultima fiesta
Üzenet: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye
Melléklet: Fotos.exe
vagy
Tárgy: ahora el juego va a funcionar
Üzenet: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
Melléklet: ParcheJuego.exe
vagy
Tárgy: Presentaciones PowerPoint
Üzenet: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
Melléklet: Presentaciones.exe
vagy
Tárgy: Datos ultimo trimistre
Üzenet: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
Melléklet: Datos.exe
vagy
Tárgy: Actualizacion de programa
Üzenet: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
Melléklet: Actualizacion.exe
vagy
Tárgy: parche
Üzenet: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
Melléklet: Parche.exe
vagy
Tárgy: Mis primeras animaciones
Üzenet: Te mando la primera animación en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
Melléklet: Animacion.exe
vagy
Tárgy: Codigo fuente
Üzenet: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
Melléklet: Codigo.exe
A levél fejléce a következő információkat tartalmazza:
X-Library: Indy 8.0.25
(Ez a vírusban van kódolva)
A melléklet futtatásakor hamis hibaüzenet jelenik meg (WinNT/2K/XP operációs rendszerek esetén):
A vírus Sys64dvr.exe néven a következő könyvtárakba menti el magát:
- c:\windows\system
- c:\winnt\system32
A víruskód hibája miatt a fájl a következő formában is előfordulhat:
- c:\windows\systemsys64dvr.exe
- c:\winnt\system32sys64dvr.exe
Az alábbi registry kulcs biztosítja a féreg betöltődését minden rendszerinduláskor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System 64 Driver for Games" = sys64dvr.exe
Tünetek
Az alábbi fájlok jelenléte:
- sys64dvr.exe
- systemsys64dvr.exe
- system32sys64dvr.exe
A fertőzés menete
A programféreg saját SMTP-rutinjával e-mail küld az MSN Messenger címjegyzékében található összes e-mail címre. Ezen felül a következő üzenetet küldi:
Feladó: nemesis@olimpo.com
Címzett: jcrivas77@yahoo.com
Tárgy: Hello World :-) have a nice day %a fertőzött felhasználó MSN Messenger bejelentkezési neve%
Üzenet: %A fertőzött felhasználó jelszava, titkosított formában %
Eltávolítási utasítások
Minden felhasználónak:
Használja a megadott keresőmotor és adatbázis-verziókat.
A vírus által a rendszerleíró adatbázisban és .INI fájlokban létrehozott, módosított bejegyzéseket a megadott adatbázis-verzió és keresőmotor használatával a víruskereső eltávolítja, illetve visszaállítja.
Egyéb elnevezések
W32.Nicehello@mm (Symantec)
