VSantivirus No. 977 - Año 7 - Martes 11 de marzo de 2003
W32/Nicehello. Utiliza la frase "es solo para vos"
http://www.vsantivirus.com/nicehello.htm
Nombre: W32/Nicehello
Tipo: Gusano de Internet
Alias: W32.Nicehello@mm, W32/Rivas.A@MM, Win32/NiceDay.A, W32/NiceHello@MM, I-worm.nicehello@mm
Fecha: 10/mar/03
Plataforma: Windows 32-bit
Tamaño: 99,328 bytes
El gusano "Nicehello" (también conocido como "Rivas" o "NiceDay"), ha sido reportado extensamente entre usuarios hispanos, y su origen parece ser Argentina. Solo funciona en versiones de Windows en español.
Para propagarse, se envía a si mismo a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book). También a todas las direcciones de la lista de contactos de MSN Messenger.
El mensaje posee varios asuntos, textos y nombres de adjuntos, aunque este es siempre el mismo archivo .EXE de 99,328 bytes (el gusano propiamente dicho.
También captura el nombre de usuario y la contraseña del usuario infectado, para luego intentar enviar esta información al autor del virus vía correo electrónico.
A continuación las diez variantes conocidas con las que el gusano se distribuye. Un común denominador para identificarlo visualmente, es que el texto del mensaje incluye en todos los casos la frase "recuerda que es solo para vos" o similar:
Variante 1:
Asunto: Codigo fuente
Datos adjuntos: Codigo.exe
Texto del mensaje:
Hola, te mando el codigo fuente que te prometi,
esta comprimido; ya sabes esto es solo para vos!!.
Saludos.
Variante 2:
Asunto: Mis primeras animaciones
Datos adjuntos: Animacion.exe
Texto del mensaje:
Te mando la primera animación en flash sobre
nuestros amigos; espero tus comentarios,
recuerda que es solo para vos.
Variante 3:
Asunto: parche
Datos adjuntos: Parche.exe
Texto del mensaje:
El parche del programa que me pediste. Cualquier
cosa estoy para ayudarte. recuerda que es solo
para vos.
Variante 4:
Asunto: Actualizacion de programa
Datos adjuntos: Actualizacion.exe
Texto del mensaje:
Recien puedo enviarte la actualizacion, es que
tuve mucho trabajo, recuerda que es solo para vos.
Variante 5:
Asunto: Datos ultimo trimistre
Datos adjuntos: Datos.exe
Texto del mensaje:
Los datos del ultimo trimestre esta en el
archivo adjunto, estan comprimidos, recuerda
que es solo para vos.
Variante 6:
Asunto: Presentaciones PowerPoint
Datos adjuntos: Presentaciones.exe
Texto del mensaje:
Las presentaciones en power point que tenia que
mandarte, estan comprimidas en el archivo adjunto,
recuerda que es solo para vos.
Variante 7:
Asunto: Ahora el juego va a funcionar
Datos adjuntos: ParcheJuego.exe
Texto del mensaje:
El parche para el juego que mas te gusta, esta
comprimido, recuerda que es solo para vos.
Variante 8:
Asunto: Foros ultima fiesta
Datos adjuntos: Fotos.exe
Texto del mensaje:
Hola, como estas, te mando las fotos de la ultima
fiesta, por cierto tienes una cara!!!. , recuerda
que es solo para vos. bye
Variante 9:
Asunto: Video de la ultima reunion de amigos,
recuerda que es solo para vos
Datos adjuntos: Video.exe
Texto del mensaje:
Hola, te mando el video de la ultima fiesta, no
se ve muy bien pero algo es algo, recuerda que es
solo para vos.
Variante 10:
Asunto: Animaciones en flash de nuestros politicos
Datos adjuntos: Politicos.exe
Texto del mensaje:
Mira las animaciones sobre la clase politica del pais,
recuerda que es solo para vos.
Cuando el adjunto es ejecutado por primera vez (con un doble clic sobre el
mismo), el gusano despliega un falso mensaje de error en sistemas Windows NT, 2000 y XP:
Just In Time Debbugger
Microsoft Windows XP or greater required!
[ Aceptar ]
Intenta luego conectarse a la dirección 65.173.56.33 en el puerto 53. Corresponde a un servidor de nombre de dominio (DNS Server), que el gusano utiliza para resolver los nombres de yahoo.com y olimpo.com. Luego de ello, enviará las contraseñas robadas de la máquina infectada a direcciones específicas en yahoo.com y olimpo.comm a través del siguiente mensaje:
De: nemesis@olimpo.com
Para: jcrivas77@yahoo.com
Asunto: Hello World :-) have a nice day [usuario Messenger]
Texto del mensaje: [usuario + contraseña en MSN Messenger]
El nombre de usuario y la contraseñas en el cuerpo del mensaje van encriptados.
El gusano se copia en una de las siguientes ubicaciones dependiendo de la versión de Windows:
c:\windows\system\sys64svr.exe
c:\winnt\system32\sys64svr.exe
Estos caminos (paths), están escritos literalmente en su código, de modo que el gusano falla si estas carpetas tienen otros nombres. En ocasiones, por errores en el código o por diferencias en las versiones de Windows en la que fue programado, puede terminar creando los siguientes archivos (en esos casos, no se ejecuta correctamente):
c:\windows\systemsys64dvr.exe
c:\winnt\system32sys64dvr.exe
También crea la siguiente clave en el registro, que le permite autoejecutarse cada vez que Windows se reinicie:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System 64 Driver for Games = Sys64svr.exe
Luego de ello, el gusano se envía a todos los contactos de la libreta de direcciones de Windows, en la forma de los mensajes descriptos antes. Utiliza su propio motor SMTP, de modo que no depende del cliente de correo instalado para enviarse.
En el código del gusano, no visible para el usuario, se puede encontrar el siguiente texto:
Hello World :) have a nice day
En la cabecera de los mensajes, puede encontrarse el siguiente campo:
X-Library: Indy 8.0.25
Herramienta para quitar el W32/Nicehello de un sistema infectado
Panda
Descargue PQREMOVE
(*) de este enlace (1.2Mb) y ejecútelo en su sistema:
(*) Panda
Quick Remove es Copyright (C) Panda Software 2003.
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
Sys64svr.exe
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
System 64 Driver for Games
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|