- | Accueil
- Sécurité
- INTECO-CERT
- Actualidad_fr
- Virus
- Detalle de virus
Detalle de virus
Gusano que se propaga a través del envío masivo de correo electrónico a direcciones recopiladas en ficheros del equipo. También se replica en las unidades compartidas en red 'ADMIN$' y 'C$' (si existen), con el nombre de fichero WINZIP_TMP.EXE. Es capaz de deshabilitar tanto el ratón como el teclado del equipo afectado. El tercer día de cada mes, sobreescribe todos los ficheros del equipo afectado que tengan determinadas extensiones (documentos de Word, Excel, PDF, ...).
Detalles técnicos
- Peligrosidad: 3 - Media
- [Explicación de los criterios]
- Difusión:
- Daño:
- Dispersibilidad:
- Fecha de alta: 17/01/2006
- Última actualización: 10/12/2009
- Nombre completo del virus: Worm.W32/Nyxem.E@MM
- Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
-
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
- Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Tamaño comprimido (bytes): 95.690
-
Alias:
Propagación
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Infección/Efectos
Cuando Nyxem.E se ejecuta, realiza las siguientes acciones:
Otros detalles
Instalación y técnica de autoarranque
Cuando Worm.W32/Nyxem.E@MM deja en directorio de sistema de Windows y posteriormente abre, un fichero comprimido de nombre SAMPLE.ZIP .Además, deja los siguientes ficheros:
- %Windows% \Rundll16.exe
- %Windows% \WINZIP_TMP.EXE
- %System% \scanregw.exe
- %System% \Winzip.exe
- %System% \Update.exe
- %System% \WINZIP_TMP.EXE
- %System% \sample.zip - fichero no malicioso .
- Todos los ficheros .exe son copias del gusano.
- %Windows% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows o C:\WINNT.
- %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: ScanRegistry = "scanregw.exe /scan"
Otras modificaciones en el registro
Worm.W32/Nyxem.E@MM también realiza el siguiente cambio en el registro de Windows:Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Valor: ShowSuperHidden = "dword:00000000"Nota: El valor por defecto es "dword:00000001" .
Propagación por correo electrónico
Este gusano se propaga como anexo a correos electrónicos que envía de masivamente utilizando su própio motor SMTP (Simple Mail Transfer Protocol), lo que le permite el envío independientemente del cliente de correo instalado en el sistema.El mensaje enviado tiene las siguientes características:
Asunto: alguno de los siguientes:
- *Hot Movie*
- A Great Video
- Fw: DSC-00465.jpg
- Fw: Funny :)
- Fw: Picturs
- Fw: Real show
- Fw: SeX.mpg
- Fw: Sexy
- Fwd: Crazy illegal Sex!
- Fwd: image.jpg
- Fwd: Photo
- give me a kiss
- Miss Lebanon 2006
- My photos
- Part 1 of 6 Video clipe
- Photos
- School girl fantasies gone bad
- >>forwarded message
- forwarded message attached.
- Fuckin Kama Sutra pics
- hello,
- Helloi attached the details.
- Hot XXX Yahoo Groups
- how are you?
- i just any one see my photos.
- i send the details.
- i send the file.
- It's Free :)
- Note: forwarded message attached. You Must View This Videoclip!
- Please see the file.
- Re: Sex Video
- ready to be FUCKED ;)
- Thank you
- The Best Videoclip Ever
- the file i send the details
- VIDEOS! FREE! (US$ 0,00)
- What?
- 007.pif
- 392315089702606E-02,.scR
- 677.pif
- Adults_9,zip.sCR
- Arab sex DSC-00465.jpg
- ATT01.zip.sCR
- Attachments[001],B64.sCr
- Clipe,zip.sCr
- document.pif
- DSC-00465.Pif
- DSC-00465.pIf
- eBook.pdf
- eBook.PIF
- image04.pif
- New Video,zip
- New_Document_file.pif
- photo.pif
- Photos,zip.sCR
- School.pif
- SeX,zip.scR
- Sex.mim
- Video_part.mim
- WinZip,zip.scR
- WinZip.BHX
- WinZip.zip.sCR
- Word XP.zip.sCR
- Word.zip.sCR
- DMP
- DOC
- MDB
- MDE
- PPS
- PPT
- PSD
- RAR
- XLS
- ZIP
Propagación a través de unidades compartidas en red.
Worm.W32/Nyxem.E@MM se propaga también a través de unidades compartidas en red.Busca en el sistema las siguientes unidades compartidas, y en caso de encontrarlas, deja una copia de sí mismo con el nombre de fichero WINZIP_TMP.EXE :
- ADMIN$
- C$
Funciona en equipos con Windows 98/Me/NT/2000/XP/Server 2003 .
El tercer día de cada mes, sobreescribe todos los ficheros con alguna de las siguientes extensiones, justo 30 minutos después de que el sistema afectado se reinicie:
- DMP
- DOC
- MDB
- MDE
- PPS
- PPT
- PSD
- RAR
- XLS
- ZIP
Sobreescribe los ficheros anteriores con el siguiente texto:
DATA Error [47 0F 94 93 F4 K5]
Contramedidas
Desinfección
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. - En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: ScanRegistry = "scanregw.exe /scan"
Restaure el valor indicado de la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Valor: ShowSuperHidden = cambiar: "dword:00000000" por: "dword:00000001"
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
