Vírus Híradó - Vírusleírás: Nyxem.E

A Nyxem.e nevet kapott, Visual Basic p-Code nyelven íródott, pusztító funkcióval is rendelkező levező féreg a néhány nappal korábban megjelent "VB.bi" kártevő fejlettebb változatának tekinthető, mivel képes hálózati megosztásokon keresztül is terjedni.

A mintegy 95 kilobájt méretű féreg kódjába épített webes számláló nemcsak a víruskutatók, hanem a nagyközönség számára is láthatóvá teszi, hogy már terjedésének első 12 órájában legalább 400 ezer gépet fertőzött meg ez a kártevő!

A Nyxem.e féreg leginkább elektronikus levélben érkezhet gépünkre.

A fertőzött levelek tárgya az alábbi sorok bármelyike lehet:



	A Great Video Arab sex DSC-00465.jpg eBook.pdf Fuckin Kama Sutra pics Fw: Fw: DSC-00465.jpg Fw: Funny :) Fw: Picturs Fw: Sexy Fwd: image.jpg Fwd: Photo give me a kiss Hot Movie Miss Lebanon 2006 My photos Part 1 of 6 Video clipe Re: Re: Sex Video School girl fantasies gone bad The Best Videoclip Ever the file Word file You Must View This Videoclip!

A levél törzse, általában egysorosokból áll:



	----- forwarded message ----- >> forwarded message Fckin Kama Sutra pics forwarded message attached. Hot XXX Yahoo Groups how are you? i just any one see my photos. It's Free :) i send the details. Note: forwarded message attached. OK ? Please see the file. ready to be FCKED ;) VIDEOS! FREE! (US$ 0,00)

Az esetek túlnyomó részében a féregnek a levélhez csatolt példánya közvetlenül futtatható formában, egy PIF állományan található. A fájlmelléklet változatos neveket viselhet:



	007.pif 04.pif 677.pif document.pif DSC-00465.Pif DSC-00465.pIf eBook.PIF image04.pif New_Document_file.pif photo.pif School.pif

Ritkább esetben a fertőzött fájl MIME-kódolású mellékletben rejtőzik. Ilyen esetben a boríték fájl neve az alábbiak bármelyike lehet:



	3.92315089702606E02.UUE Attachments[001].B64 Attachments00.HQX Attachments001.BHX eBook.Uu Original Message.B64 SeX.mim Sex.mim Video_part.mim WinZip.BHX Word_Document.hqx Word_Document.uu

A MIME típusú melléklet belsejében rejtőző féregfájlok lehetséges nevei:



	New Video,zip .sCr Attachments,zip .SCR Atta[001],zip .SCR Clipe,zip .sCr WinZip,zip .scR Adults_9,zip .sCR Photos,zip .sCR Attachments[001],B64 .sCr 392315089702606E-02,UUE .scR SeX,zip .scR WinZip.zip .sCR ATT01.zip .sCR Word.zip .sCR

A fertőzés menete
Amennyiben egy gyanútlan felhasználó lefuttatja a levélben található fertőzött mellékletet, a Nyxem.e féreg azonnal bemásolja magát az alábbi helyekre a számítógép fájlrendszerében:



	%System%\scanregw.exe %System%\Update.exe %System%\Winzip.exe %Windows%\rundll16.exe

ahol a %Windows% változó a Windows telepítési könyvtárára mutat (értéke WINNT vagy Windows szokott lenni), illetve a %System% változó a Windows rendszerkönyvtárat jelöli.

A Nyxem.e egy registry kulcs létrehozásával gondoskodik arról, hogy féregkódja a gép újraindítása esetén is működőképes maradjon:



	[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe /scan"

Retró rutin
A féreg registry bejegyzések törlésével megkísérli működésképtelenné tenni a fertőzött gépen esetleg megtalálható, de nem naprakész biztonsági szoftvereket, megnyitva ezzel az utat a régebbi kártevők előtt is.

A Nyxem.E az alábbi registry ágakat vizsgálja:



	[Software\Microsoft\Windows\CurrentVersion\Run] [Software\Microsoft\Windows\CurrentVersion\Run] [Software\Microsoft\Windows\CurrentVersion\RunServices]

Amennyiben ezekben az ágakban az alábbi kulcsok bármelyike megtalálható, akkor a féreg megkísérli azokat törölni:



	APVXDWIN, avast!, AVG_CC, AVG7_CC, AVG7_EMC, AVG7_Run, Avgserv9.exe, AVGW, BearShare, ccApp, CleanUp, defwatch, DownloadAccelerator, kaspersky, KAVPersonal50, McAfeeVirusScanService, MCAgentExe, McRegWiz, MCUpdateExe, McVsRte, MPFExe, MSKAGENTEXE, MSKDetectorExe, NAV Agent, NPROTECT, OfficeScanNT Monitor, PCCClient.exe, pccguide.exe, PCCIOMON.exe, PCCIOMON.exe, PCClient.exe, PccPfw, Pop3trap.exe, rtvscn95, ScanInicio, ScriptBlocking, SSDPSRV, TM Outbreak Agent, tmproxy, Vet Alert, VetTray, VirusScan Online, vptray, VSOCheckTask

Ezeken - a férgek körében ma már általánosnak mondható - "retró rutinokon" (védelmi rendszert károsító intézkedéseken) felül a Nyxem.E külön megkísérli leállítani a biztonsági szoftverekhez tartozó, memóriában futó folyamatokat és letörölni az azokat tartalmazó fájlokat. Ezzel a gépek teljesen védtelenné válnak - amíg a biztonsági programokat újra nem telepítik.

A /Program Files/ mappában található alábbi fájlok és az onnan futtatott objektumok kerülnek törlésre:



	\Alwil Software\Avast4\.exe \BearShare\.dll \DAP\.dll \Grisoft\AVG7\.dll \Kaspersky Lab \LimeWire\LimeWire 4.2.6\LimeWire.jar \McAfee.com\ \Morpheus\.dll \NavNT\.exe \Norton AntiVirus\ \Symantec\ \Trend Micro

Néhány más program esetén a fájlok helyét és a futó folyamatok neveit a registry-ből olvassa ki a féreg, majd ezeket is törli:



	Iface.exe Kaspersky Anti-Virus Personal Norton AntiVirus Panda Antivirus 6.0 Platinum VirusProtect6

A féreg terjedése
Amikor a Nyxem.E megszabadult ellenfeleitől, meghatározott kiterjesztésű fájlok után kutatva végignézi a fertőzött gép merevlemezét (elsősorban az Internet Explorer böngésző átmeneti tárolóját) és újabb fertőzött levelek küldéséhez kigyűjti az azokban talált e-mail címeket:



	DBX, EML, HTM, IMH, MBX, MSF, MSG, NWS, OFT, TXT, VCF

Hálózaton keresztül történő terjedés esetén a fertőzött számítógép megvizsgálja az elérhető távoli számítógépek megosztott mappáit.

Amennyiben a távoli gépen az alábbi, biztonsági szoftverekre jellemző könyvtárnevek bármelyike megtalálható a C:\Program Files\ mappában, a Nyxem.E féreg meg sem próbálkozik a támadással:



	Antivirus Platinum, CA eTrust EZ, Kaspersky Lab, LiveUpdate, McAfee.com, NavNT, Norton AntiVirus, Panda Software, Symantec shared, Trend Micro

Amennyiben viszont "szabad a pálya", a féreg három helyre is bemásolja magát a távoli gépen:



	\Admin$\WINZIP_TMP.exe \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe \c$\WINZIP_TMP.exe

Eközben letöröl egy registry kulcsot, elősegítve ezzel a felhasználó elől való rejtőzködését:



	\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

Pusztító rutin
Minden hónap harmadik napján a Nyxem.E féreg lefutattja UPDATE.EXE nevű modulját, amely akitivizálja a kártékony kódot. Ez a funkció az összes meghajtón rongálni kezdi az alábbi kiterjesztésű, elsősorban irodai programokhoz kapcsolódó adat fájlokat: dmp, doc, mdb, mde, pdf, pps, ppt, psd, rar, xls, zip

Ennek során az értékes adattartalmat a féreg az alábbi rövid karaktersorozatra cseréli le:



	DATA Error [47 0F 94 93 F4 K5]

Riasztás
A szabadon terjedő Nyxem.E féregnek a tárolt adatokra való veszélyessége miatt az F-Secure cég 2006. január 20-án kora délután közepes szintű, Radar Level 2-es riasztást bocsátott ki.

Felismerés
Az F-Secure és Kasperky Lab gyártmányú antivírus szoftverek a [Version = 2006-01-20_01] vagy frissebb adatbázissal már képesek felismerni a Nyxem.E férget.