Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Nuwar.A realiza las siguientes acciones:
- Finaliza los procesos que contengan algunas de las siguientes cadenas de texto, si se encuentran activos en memoria:
blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Registry Editor
spybot
troja
vsmon
zonea
Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. - Suelta un archivo en el ordenador afectado que se encarga de actualizar y configurar a Nuwar.A.
Metodo de Infección
Nuwar.A crea los siguientes archivos, que son copias de sí mismo:
- WSERVICE.EXE en el directorio de sistema de Windows.
- Se copia en todos los directorios del disco duro.
Nuwar.A crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
UpdateService = %sysdir%\wservice.exe
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
UpdateService = %sysdir%\wservice.exe
Mediante estas entradas, Nuwar.A consigue ejecutarse cada vez que Windows se inicia.
Nuwar.A modifica el valor en la entrada Start de la siguiente ruta del Registro de Windows:
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess
quedando la entrada resultante de la siguiente manera:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess
Start = 4
Mediante esta modificación, Nuwar.A desactiva el Cortafuegos de conexión a Internet (ICF) y la Conexión Compartida a Internet (ICS) en Windows XP.
Método de Propagación
Nuwar.A se propaga a través del correo electrónico. Para ello, Nuwar.A realiza el siguiente proceso:
- Llega al ordenador afectado en un mensaje de correo escrito en inglés con las siguientes características:
Remitente: uno de los siguientes:
abierman@cisco.com, admin@rarbrazil.com, agentx@dorothy.bmc.com, arrowcomp@xtra.co.nz, bwijnen@lucent.com, case@snmp.com, coders@lists., daniele@zk3.dec.com, dbh@enterasys.com, dev@ethereal.com, dev@ethereal.com., dhaskin@baynetworks.com, disman@dorothy.bmc.com, dlevi@nortelnetworks.com, dthaler@dthaler.microsoft.com, ellison@world.std.com, estan@net.utcluj.ro, fred@cisco.com, freed@innosoft.com, help@winzip.com, hostmib@andrew.cmu.edu., hreissl@compuserve.com, hsseo@buysoft.co.kr, hubmib@hprnd.rose.hp.com, iana@iana.org, info@avir.sk, info@italsel.com, info@rarsoft.be, info@winrar-rog.com, infoservice@microsoft.at, inftec@colomsat.net.co, jeff@redbacknetworks.com, jimaz@jimaz.cz, johnf@rose.hp.com, kzm@cisco.com, lheintz@cisco.com, licensing@sysinternals.com, line@microsoft.hr, mark@sysinternals.com, mcafeapc@col3.telecom.com.co, mcopray@compuserve.com, meyer@securecomputing.com, mibs@ops.ietf.org, mscarsup@microsoft.com, msccatus@microsoft.com, mssupport@nets.net.pk, mswsgulf@microsoft.com, mundy@tislabs.com, naradamoon@operamail.com, neox@pisem.net, password@server links., pnpwin95@supra.com, presuhn@bmc.com, provision@pro.ro, ramk@cisco.com, rar@ols.es, regsite@skulski.com, rfrye@cosinecom.com, rkinput@microsoft.com, robbykang@jsresource.com, rod@st.net.au, rom@innocent.com, rpresuhn@bmc.com, sales@defsol.se, sales@keszo.com, sales@panda.co.jp, sales@rarreg.com, sales@tfmik.ru, sam@rarsoft.com.tw, sar@epilogue.com, schoenw@ibr.cs.tu, sgudur@hotmail.com, sitesales@winzip.com, sitesales@winzip.com., snmpv3@lists.tislabs.com, sonishi@baynetworks.com, support@atitech.ca, support@rararchiver.com, support@stb.com, support@tamos.com, support@winzip.de., techsupport@matrox.com, techsupport@tridmicr.com, ts@polynet.lviv.ua, users@ethereal.com, ventes@adc-soft.com, vjohnie@debian.org, vmlich@mbox.vol.cz, waldbusser@ins.com, waldbusser@lucent.com, webmaster@acon.com.au, winrar@rog.de.
Asunto: uno de los siguientes:
ATTN
ATTN TO EVERYBODY!
Incredible news!
NEWS
READ AND RESEND ASAP
URG
URGENT NEWS
White house news!
Contenido: uno de los siguientes:
Mensaje 1
3rd Glogal War Just Started!!! Read more in file!
Mensaje 2
GLOBAL NUCLEAR WAR JUST STARTED! News in file.
Mensaje 3
Nuclear War in Russia! Read news in file!
Mensaje 4
Nuclear WAR in USA! Read attached file!
Mensaje 5
President Bush DEAD! Read attached file!
Mensaje 6
President Putin dead! Read more in attached file!
Mensaje 7
Putin and Bush starts NUCLEAR WAR! Check the file!
Archivo adjunto: uno de los siguientes:
A.EXE
ABOUT ME.EXE
LAST.EXE
LATEST NEWS.EXE
NEVER.EXE
OPEN.EXE
READ ME.EXE
TRUTH.EXE
WAR.EXE - Cuando el archivo adjunto es ejecutado, el ordenador quedará afectado.
- Nuwar.Abusca direcciones de correo electrónico en el ordenador afectado.
- El gusano también genera direcciones de correo electrónico, añadiendo al dominio de correo de las direcciones que ha recogido los siguientes nombres: Aldora, Alysia, Amorita, Anita, April, Aretina, Barbra, Becky, Bella, Bettina, Blenda, Briana, Bridget, Caitlin, Camille, Carla, Carmen, Chelsea, Clarissa, Damita, Danielle, Daria, Diana, Donna, Doris, Ebony, Eliza, Emily, Erika, Evelyn, Faith, Gilda, Gloria, Haley, Helga, Holly, Idona, Isabel, Ivana, Ivory, Janet, Jewel, Joanna, Julie, Juliet, Kacey, Kassia, Katrina, Laura, Linda, Lolita, Melody, Nadia, Naomi, Natalie, Nicole, Olivia, Pamela, Peggy, Queen, Rachel, Sharon, Silver, Valda, Valora, Vanessa, Vicky, Violet, Vivian, Wendy, Willa, Xandra, Xenia, Xylia, Zenia, Zilya.
- Nuwar.A envía una copia de sí mismo a las direcciones que ha recogido.
Otros Detalles
Nuwar.A tiene un tamaño de 15947 Bytes.
Nuwar.A crea un mutex llamado Kusyyyy, para asegurarse de que únicamente haya una copia del gusano activa en cada momento.