Email-Worm.Win32.Nyxem.e

[Ŧ1LAN]

название: Email-Worm.Win32.Nyxem.e
размер: Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.
распространение: через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
инсталяция:
Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "ScanRegistry"="scanregw.exe /scan"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 "WebView"="0"
 "ShowSuperHidden"="0"

Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc

Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма:

*Hot Movie* 
A Great Video 
Arab sex DSC-00465.jpg 
eBook.pdf 
Fuckin Kama Sutra pics 
Fw: 
Fw: DSC-00465.jpg 
Fw: Funny :) 
Fw: Picturs 
Fw: Real show 
Fw: SeX.mpg 
Fw: Sexy 
Fwd: Crazy illegal Sex! 
Fwd: image.jpg 
Fwd: Photo 
give me a kiss 
Miss Lebanon 2006 
My photos 
Part 1 of 6 Video clipe 
Photos 
Re: 
Re: Sex Video 
School girl fantasies gone bad 
The Best Videoclip Ever 
You Must View This Videoclipe!

Текст письма:

----- forwarded message ----- 
>> forwarded message 
forwarded message attached. 
Fuckin Kama Sutra pics 
hello, i send the file. Bye 
Hot XXX Yahoo Groups 
how are you? i send the details. 
i attached the details. Thank you. 
i just any one see my photos. It's Free :) 
Note: forwarded message attached. You Must View This Videoclip! 
Please see the file. 
Re: Sex Video 
ready to be FUCKED;) 
The Best Videoclip Ever 
VIDEOS! FREE! (US$ 0,00) 
What?
Имя файла-вложения:
007.pif 
04.pif 
3.92315089702606E02.UUE 
677.pif 
Attachments[001].B64 
document.pif 
DSC-00465.Pif 
DSC-00465.pIf 
eBook.PIF 
eBook.Uu 
image04.pif 
New_Document_file.pif 
Original Message.B64 
photo.pif 
School.pif 
SeX.mim 
WinZip.BHX 
Word_Document.hqx 
Word_Document.uu

Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$

Прочее
Червь закрывает, выгружает из системы, удаляет ветки реестра и исполняемые файлы различных антивирусных программ и межсетевых экранов.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip

Испорченные файлы содержат следующий текст:

DATA Error [47 0F 94 93 F4 F5]

 

[Ŧ1LAN]

Вирус Nyxem.e 3 февраля уничтожит информацию на зараженных компьютерах
"Лаборатория Касперского" оповещает о серьезной угрозе со стороны почтового червя Email-Worm.Win32.Nyxem.e. Главной опасностью червя является его деструктивная направленность: третьего числа каждого месяца, через полчаса после загрузки компьютера он уничтожает информацию на жестком диске, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5].

Сам червь представляет собой файл размером 95 кб и распространяется по электронной почте с различными заголовками и текстом. Активировать вирус может только сам пользователь, запустив зараженный файл. После запуска Nyxem.e создает в системном каталоге Windows архив с тем же именем, что и запущенный файл. В дальнейшем запуск вируса происходит из этого архива. После запуска червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также в каталог автозагрузки, вдобавок, регистрируясь в ключе автозапуска системного реестра. Затем вирус рассылает свои копии по всем найденным адресам электронной почты и копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe.

Вредоносная программа также прекращает работу антивирусов и предотвращает их повторный запуск. Наконец, Nyxem.e способен самостоятельно обновляться через интернет.

По данным "Лаборатории Касперского", на данный момент вирусом заражены несколько сотен тысяч компьютеров, причем их число продолжает расти. Пока эпидемия сильно уступает масштабам эпидемий червей MyDoom и Sobig.f, но деструктивное действие Nyxem.e делает этот червь особенно опасным.

Ближайшая дата активации деструктивных функций - пятница, 3 февраля 2006 г. По этой причине в "Лаборатории Касперского" рекомендуют всем пользователям проверить свои компьютеры. Процедуры защиты от Nyxem.e уже добавлены в базу данных "Антивируса Касперского".

Более подробную инфу об этом черве читайте выше.

 

[Roach]

Ко мне сегодня пришло письмо с таким телом, без текста, и прикрепленный файл Nyx-em.e
Я о нем уже знал и потому послал это письмо в трэш. Теперь буду все письма неизвестные удалять.

 

[Dude03]

Хмм...Он так и назывался "Nyxem.e"?
Че-то не верится :crazy:

 

[Ŧ1LAN]

Где-то внутри >100КБ тела Nyxem.e спрятан микроскопический блок размером в 32 байта. Третьего числа каждого месяца ровно через полчаса после запуска зараженной машины Nyxem.e пользуется этим блоком, чтобы полностью уничтожить на ваших жестких дисках содержимое файлов с расширениями DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD и DMP.
Как только это случится, ваша презентация размером 6МБ, фотографии из прошлогоднего отпуска и все RAR- и ZIP-архивы с важной информацией будут выглядеть следующим образом:

Или, если вы предпочитаете ASCII, так:

В преддверье первой даты активации деструктивных функций Nyxem.e вам необходимо убедиться в том, что ваша система не заражена. В отличие от недавней эпидемии GPCode, после того, как сработает функция уничтожения содержимого файлов Nyxem.e, восстановить вашу информацию будет практически невозможно.

 

[Stifler]

Хмм...Он так и назывался "Nyxem.e"?
Че-то не верится

Посмотри телек даже по новостям предупреждауют! Только что по НТВ смотрел репортаж!

 

[Dude03]

Ну не знаю...
Был занят в это время, поэтому не смотрел <_<
Просто не вериться, что так красноречиво назван

 

[dampil]

а что если у меня на компе он найдёт базы с общим размеров 10 - 12 милионов ?

 

[BUG(O)R]

dampil

Ну если ты разрешишь ему вылезти по stmp, то считай разорился на трафе

 

[©yBe®0Ge№]

офф топ
dampil, спамер )

 

[dampil]

Каждый выживает как может.