Nuevo gusano de Internet que se propaga por e-mail a todos los contactos de MSN Messenger del equipo infectado. Ya controlado desde DAT 4252 se está comenzando a propagar a nivel nacional

Nombre de virus: W32/NiceHello@MM
Alias conocidos: W32.Nicehello@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero .EXE adjunto
Propagación: A través de correo electrónico
Detección: desde DATS 4252
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Este gusano de propagación masiva por e-mail se envía a toda la lista de contactos de MSN Messenger del ordenador infectado. También envía el nombre de usuario y password de MSN Messenger al autor del virus, en un mensaje de correo electrónico. Llega en un mensaje de e-mail con la siguiente información:

Asunto: Animaciones en flash de nuestros politicos
Mensaje: Mira las animacio nes sobre la clase politica del pais, recuerda que es solo para vos
Adjunto: Politicos.exe
o
Asunto: Video de la ultima reunion de amigos, recuerda que es solo para vos
Mensaje: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
Adjunto: Video.exe
o
Asunto: Fotos ultima fiesta
Mensaje: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye
Adjunto: Fotos.exe
o
Asunto: ahora el juego va a funcionar
Mensaje: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
Adjunto: ParcheJuego.exe
o
Asunto: Presentaciones PowerPoint
Mensaje: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
Adjunto: Presentaciones.exe
o
Asunto: Datos ultimo trimistre
Mensaje: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
Adjunto: Datos.exe
o
Asunto: Actualizacion de programa
Mensaje: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
Adjunto: Actualizacion.exe
o
Asunto: parche
Mensaje: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
Adjunto: Parche.exe
o
Asunto: Mis primeras animaciones
Mensaje: Te mando la primera animación en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
Adjunto: Animacion.exe
o
Asunto: Codigo fuente
Mensaje: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
Adjunto: Codigo.exe

Al ejecutar el fichero adjunto, visualiza un falso mensaje de error (bajo WinNT/2K/XP):

El virus se intenta copiar con el nombre Sys64dvr.exe , a las siguientes ubicaciones:

· c:\windows\system

· c:\winnt\system32

Debido a un fallo en el código, el fichero se copia como:

· c:\windows\systemsys64dvr.exe

· c:\winnt\system32sys64dvr.exe

Crea una clave de registro para ejecutar el gusano al iniciar el sistema:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "System 64 Driver for Games" = sys64dvr.exe

 

Para Eliminar el Virus

Se controla desde DATS 4252 ó superior y engine 4.1.60 ó superior.

Es posible eliminarlo simplemente con desactivar el VShield y ejecutar nuestra utilidad ELINICEH.EXE.

SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 13 Marzo 2003

Anterior