Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Nopir.A lleva a cabo las siguientes acciones:
- Elimina todos los archivos con extensión EXE y COM que encuentra en el sistema.
- Por lo tanto, en ordenadores con Windows 2003/XP/2000/NT, el archivo NTDETECT.COM será borrado, y el ordenador no podrá arrancar.
- Evita el acceso al Editor del Registro de Windows, el Administrador de Tareas y el Panel de Control de Windows.
- Modifica determinadas entradas en el Registro de Windows, con el objetivo de activarse cada vez que el usuario ejecute un archivo EXE, COM, PIF, SCR, CMD, BAT, REG, VBE o VBS. Además, si el usuario borra a Nopir.A sin tomar ninguna precaución, no podrá ejecutar archivos con esas extensiones.
- Muestra la siguiente imagen en pantalla cuando es ejecutado:
Metodo de Infección
Nopir.A crea los siguientes archivos, que son copias del gusano:
- NCTRUP.EXE en la subcarpeta PROJECTS VISUAL STUDIO.NET, dentro del directorio PROGRAM FILES creado por el propio gusano.
- VXST.EXE en la subcarpeta RESTORE, dentro del directorio PROGRAM FILES.
Nopir.A crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
securw = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Verif = C:\ Program Files\ Restore\ vxst.exe
Mediante estas entradas, Nopir.A consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoControlPanel = 1
Esta entrada desactiva el Panel de Control. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 1
Mediante esta entrada, el gusano evita que el usuario pueda ejecutar el Editor del Registro de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 1
Con esta entrada desactiva el Administrador de Tareas.
Nopir.A modifica las siguientes entradas en el Registro de Windows:
- HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ cmdfile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ VBEFile\ Shell\ Open\ Command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe - HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command
(Predeterminado) = C:\ Program Files\ Projects Visual Studio.NET\ Nctrup.exe
Estas entradas permiten a Nopir.A activarse que el usuario ejecute un archivo EXE, COM, PIF, SCR, CMD, BAT, REG, VBE o VBS. Además, si el usuario borra Nopir.A sin tomar ninguna precaución, no podrá ejecutar archivos con esas extensiones.
Método de Propagación
Nopir.A se propaga a través del programa de intercambio de archivos punto a punto (P2P) eMule, realizando el siguiente proceso:
- Realiza una copia de sí mismo en la carpeta de entrada del programa eMule con el siguiente nombre:
ANYDVD 5.1.0.1 CRACK+KEYGEN BY RAZOR.EXE - Otros usuarios de dichos programas podrán acceder de forma remota a este directorio. Así, se descargarán voluntariamente en su ordenador el archivo creado por Nopir.A, pensando que se trata de un programa interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Nopir.A.
Otros Detalles
Nopir.A tiene un tamaño de 156658 Bytes, y está comprimido mediante ExeStealth.