Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Vírusok és férgek Vírusleírások


Nyxem.E

Nyomtatható verzió Nyomtatható verzió

név / család / csoport Nyxem.E
névváltozatok -
származás Közel-Kelet (?)
méret 95 kilobájt
típus Retró, Féreg
terjedés e-mail, helyi hálózat
büntető rutin Minden hónap harmadikán dokumentumokat töröl
mentesíthetőség Igen
variánsok -
platform Windows
felfedezve 2006-01-20
eltávolítás -
megjegyzés F-Secure Radar Level 2: 2006. január 20. 15:10

A Nyxem.e nevet kapott, Visual Basic p-Code nyelven íródott, pusztító funkcióval is rendelkező levező féreg a néhány nappal korábban megjelent "VB.bi" kártevő fejlettebb változatának tekinthető, mivel képes hálózati megosztásokon keresztül is terjedni.

A mintegy 95 kilobájt méretű féreg kódjába épített webes számláló nemcsak a víruskutatók, hanem a nagyközönség számára is láthatóvá teszi, hogy már terjedésének első 12 órájában legalább 400 ezer gépet fertőzött meg ez a kártevő!

A Nyxem.e féreg leginkább elektronikus levélben érkezhet gépünkre.

A fertőzött levelek tárgya az alábbi sorok bármelyike lehet:
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Sexy
Fwd: image.jpg
Fwd: Photo
give me a kiss
*Hot Movie*
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
the file
Word file
You Must View This Videoclip!

A levél törzse, általában egysorosokból áll:
----- forwarded message -----
>> forwarded message
F*ckin Kama Sutra pics
forwarded message attached.
Hot XXX Yahoo Groups
how are you?
i just any one see my photos. It's Free :)
i send the details.
Note: forwarded message attached.
OK ?
Please see the file.
ready to be F*CKED ;)
VIDEOS! FREE! (US$ 0,00)

Az esetek túlnyomó részében a féregnek a levélhez csatolt példánya közvetlenül futtatható formában, egy PIF állományan található. A fájlmelléklet változatos neveket viselhet:

007.pif
04.pif
677.pif
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
image04.pif
New_Document_file.pif
photo.pif
School.pif

Ritkább esetben a fertőzött fájl MIME-kódolású mellékletben rejtőzik. Ilyen esetben a boríték fájl neve az alábbiak bármelyike lehet:

3.92315089702606E02.UUE
Attachments[001].B64
Attachments00.HQX
Attachments001.BHX
eBook.Uu
Original Message.B64
SeX.mim
Sex.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu

A MIME típusú melléklet belsejében rejtőző féregfájlok lehetséges nevei:

New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR

A fertőzés menete
Amennyiben egy gyanútlan felhasználó lefuttatja a levélben található fertőzött mellékletet, a Nyxem.e féreg azonnal bemásolja magát az alábbi helyekre a számítógép fájlrendszerében:
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%Windows%\rundll16.exe

ahol a %Windows% változó a Windows telepítési könyvtárára mutat (értéke WINNT vagy Windows szokott lenni), illetve a %System% változó a Windows rendszerkönyvtárat jelöli.

A Nyxem.e egy registry kulcs létrehozásával gondoskodik arról, hogy féregkódja a gép újraindítása esetén is működőképes maradjon:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

Retró rutin
A féreg registry bejegyzések törlésével megkísérli működésképtelenné tenni a fertőzött gépen esetleg megtalálható, de nem naprakész biztonsági szoftvereket, megnyitva ezzel az utat a régebbi kártevők előtt is.

A Nyxem.E az alábbi registry ágakat vizsgálja:
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\RunServices]

Amennyiben ezekben az ágakban az alábbi kulcsok bármelyike megtalálható, akkor a féreg megkísérli azokat törölni:
APVXDWIN, avast!, AVG_CC, AVG7_CC, AVG7_EMC, AVG7_Run, Avgserv9.exe, AVGW, BearShare, ccApp, CleanUp, defwatch, DownloadAccelerator, kaspersky, KAVPersonal50, McAfeeVirusScanService, MCAgentExe, McRegWiz, MCUpdateExe, McVsRte, MPFExe, MSKAGENTEXE, MSKDetectorExe, NAV Agent, NPROTECT, OfficeScanNT Monitor, PCCClient.exe, pccguide.exe, PCCIOMON.exe, PCCIOMON.exe, PCClient.exe, PccPfw, Pop3trap.exe, rtvscn95, ScanInicio, ScriptBlocking, SSDPSRV, TM Outbreak Agent, tmproxy, Vet Alert, VetTray, VirusScan Online, vptray, VSOCheckTask

Ezeken - a férgek körében ma már általánosnak mondható - "retró rutinokon" (védelmi rendszert károsító intézkedéseken) felül a Nyxem.E külön megkísérli leállítani a biztonsági szoftverekhez tartozó, memóriában futó folyamatokat és letörölni az azokat tartalmazó fájlokat. Ezzel a gépek teljesen védtelenné válnak - amíg a biztonsági programokat újra nem telepítik.

A /Program Files/ mappában található alábbi fájlok és az onnan futtatott objektumok kerülnek törlésre:

\Alwil Software\Avast4\*.exe
\BearShare\*.dll
\DAP\*.dll
\Grisoft\AVG7\*.dll
\Kaspersky Lab
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\McAfee.com\
\Morpheus\*.dll
\NavNT\*.exe
\Norton AntiVirus\
\Symantec\
\Trend Micro

Néhány más program esetén a fájlok helyét és a futó folyamatok neveit a registry-ből olvassa ki a féreg, majd ezeket is törli:

Iface.exe
Kaspersky Anti-Virus Personal
Norton AntiVirus
Panda Antivirus 6.0 Platinum
VirusProtect6

A féreg terjedése
Amikor a Nyxem.E megszabadult ellenfeleitől, meghatározott kiterjesztésű fájlok után kutatva végignézi a fertőzött gép merevlemezét (elsősorban az Internet Explorer böngésző átmeneti tárolóját) és újabb fertőzött levelek küldéséhez kigyűjti az azokban talált e-mail címeket:
DBX, EML, HTM, IMH, MBX, MSF, MSG, NWS, OFT, TXT, VCF

Hálózaton keresztül történő terjedés esetén a fertőzött számítógép megvizsgálja az elérhető távoli számítógépek megosztott mappáit.

Amennyiben a távoli gépen az alábbi, biztonsági szoftverekre jellemző könyvtárnevek bármelyike megtalálható a C:\Program Files\ mappában, a Nyxem.E féreg meg sem próbálkozik a támadással:

Antivirus Platinum, CA eTrust EZ, Kaspersky Lab, LiveUpdate, McAfee.com, NavNT, Norton AntiVirus, Panda Software, Symantec shared, Trend Micro

Amennyiben viszont "szabad a pálya", a féreg három helyre is bemásolja magát a távoli gépen:
\Admin$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
\c$\WINZIP_TMP.exe

Eközben letöröl egy registry kulcsot, elősegítve ezzel a felhasználó elől való rejtőzködését:
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

Pusztító rutin
Minden hónap harmadik napján a Nyxem.E féreg lefutattja UPDATE.EXE nevű modulját, amely akitivizálja a kártékony kódot. Ez a funkció az összes meghajtón rongálni kezdi az alábbi kiterjesztésű, elsősorban irodai programokhoz kapcsolódó adat fájlokat: dmp, doc, mdb, mde, pdf, pps, ppt, psd, rar, xls, zip


Ennek során az értékes adattartalmat a féreg az alábbi rövid karaktersorozatra cseréli le:
DATA Error [47 0F 94 93 F4 K5]

Riasztás
A szabadon terjedő Nyxem.E féregnek a tárolt adatokra való veszélyessége miatt az F-Secure cég 2006. január 20-án kora délután közepes szintű, Radar Level 2-es riasztást bocsátott ki.

Felismerés
Az F-Secure és Kasperky Lab gyártmányú antivírus szoftverek a [Version = 2006-01-20_01] vagy frissebb adatbázissal már képesek felismerni a Nyxem.E férget.




Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.