Descripción completa

Nombre:	Worm/Tearec.A
Descubierto:	12/10/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	94.154 Bytes
Suma de control MD5:	1c237c5af9c4c344eaac451b2ef5459c
Versión del VDF:	6.36.00.97
Versión del IVDF:	6.36.00.113 - lunes 16 de octubre de 2006

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Kaspersky: Email-Worm.Win32.Nyxem.e
   • TrendMicro: WORM_NYXEM.AA
   • F-Secure: Email-Worm.Win32.Nyxem.e
   • Sophos: W32/Nyxem-H
   • Panda: W32/Tearec.B.worm
   • Eset: Win32/Nyxem.NAA worm
   • Bitdefender: Win32.Nyxem.H@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\Rundll16.exe
   • %SYSDIR%\scanregw.exe
   • C:\WINZIP_TMP.exe
   • %SYSDIR%\Update.exe
   • %SYSDIR%\Winzip.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Sobrescribe los siguientes ficheros.
La sincronización de tiempo incluida en el código del virus se autoactiva en el siguiente momento: Si el día tiene el siguiente valor: 3

– %todas las carpetas%

Extensión del fichero:
   • .HTM
   • .DBX
   • .EML
   • .MSG
   • .OFT
   • .NWS
   • .VCF
   • .MBX

Con el siguiente contenido:
   • DATA Error [47 0F 94 93 F4 K5]

Elimina los siguientes ficheros:
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
   • %PROGRAM FILES%\Common Files\symantec shared\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\McAfee.com\VSO\*.*
   • %PROGRAM FILES%\NavNT\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScanRegistry = "scanregw.exe /scan"

Elimina del registro de Windows los valores de las siguientes claves:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
   • SOFTWARE\Symantec\InstalledApps
   • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
   • SOFTWARE\KasperskyLab\Components\101
   • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
   • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuevo valor:
   • "WebView"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Nuevo valor:
   • "FullPath" = dword:00000001

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
–Direcciones de correo recolectadas de Yahoo! Messenger
–Direcciones de correo recolectadas de MSN Messenger

Asunto:
Uno de los siguientes:
   • Word file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View
      This Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; The Best
      Videoclip Ever; School girl fantasies gone bad; A Great Video; Fuckin
      Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss; *Hot Movie*;
      Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fw: Sexy; Re:; Fw:; Fw:
      Picturs; Fw: DSC-00465.jpg

En algunos casos el campo del asunto está vacío.

El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • ----- forwarded message -----
   • ???????????????????????????? ????????????? ?????? ???????????
   • >> forwarded message
   • DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg
   • forwarded message attached.
   • Fuckin Kama Sutra pics
   • hello, i send the file. bye
   • hi i send the details bye
   • Hot XXX Yahoo Groups
   • how are you? i send the details. OK ?
   • i attached the details. Thank you
   • i just any one see my photos. It's Free :)
   • Note: forwarded message attached.
   • photo photo2 photo3
   • Please see the file.
   • ready to be FUCKED :)
   • VIDEOS! FREE! (US$ 0,00)
   • What?

Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • 007.pif; 04.pif; 392315089702606E-02,.scR; 677.pif; Adults_9,zip.sCR;
      Arab sex DSC-00465.jpg; ATT01.zip.sCR; Attachments[001],B64.sCr;
      Clipe,zip.sCr; document.pif; DSC-00465.Pif; DSC-00465.pIf;
      DSC-00465.Pif; DSC-00465.pIf; eBook.pdf; eBook.PIF; image04.pif;
      image04.pif; New Video,zip; New_Document_file.pif; photo.pif;
      Photos,zip.sCR; School.pif; SeX,zip.scR; Sex.mim; Video_part.mim;
      WinZip,zip.scR; WinZip.BHX; WinZip.zip.sCR; Word XP.zip.sCR;
      Word.zip.sCR

El archivo adjunto es una copia del propio programa malicioso.

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • *.doc; *.xls; *.mdb; *.mde; *.ppt; *.pps; *.zip; *.rar; *.pdf; *.psd;
      *.dmp

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • SYMANTEC; KASPERSKY; VIRUS; MCAFEE; TREND MICRO; PANDA; NORTON; FIX;
      HOTMAIL.COM; HELO; SECUR; SCRIBE; SPAM; ANTI; CILLIN; CA.COM; KASPER;
      TRUST; AVG; GROUPS.MSN; NOMAIL.YAHOO.COM; EEYE; MICROSOFT; @HOTMAIL;
      gmail.com; myway.com; @HOTPOP; @YAHOOGROUPS; @yahoo.com

Resolver DNS (nombres de servidores):
Puede conectarse al servidor DNS:
   • ns1.%el dominio del destinatario desde la dirección de correo%

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • ADMIN$
   • C$

Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente nombre de usuario:
   • administrator

Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

Finalización de los procesos Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX

Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
• http://webstats.web.rcn.net/**********?df=778247

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script CGI.

Envía informaciones acerca de:
• Estado actual del programa viral

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Alexandru Dinu el miércoles 14 de noviembre de 2007
Descripción actualizada por Alexandru Dinu el viernes 16 de noviembre de 2007

Volver . . . .