Email-Worm.Win32.Nyxem.e

Instalacja

Po uruchomieniu robak realizuje swoją podstawową funkcję - tworzy i otwiera archiwum ZIP w folderze systemowym. Nazwa archiwum jest identyczna jak nazwa pliku wykonywalnego robaka.

Podczas instalacji robak tworzy następujące kopie:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%Profil użytkownika%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windows%\rundll16.exe

Następnie robak tworzy w rejestrze wpis zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"

Dodatkowo, robak modyfikuje następujące klucze rejestru:

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"

Rozprzestrzenianie - poczta elektroniczna

Robak pobiera adresy e-mail z plików posiadających następujące rozszerzenia:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc

Robak skanuje także pliki, których nazwy zawierają następujące teksty:

content
temporary

Podczas wysyłania zainfekowanych wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

• Temat (wybierany z poniższych możliwości):

  *Hot Movie* 
  A Great Video 
  Arab sex DSC-00465.jpg 
  eBook.pdf 
  Fuckin Kama Sutra pics 
  Fw: 
  Fw: DSC-00465.jpg 
  Fw: Funny :) 
  Fw: Picturs 
  Fw: Real show 
  Fw: SeX.mpg 
  Fw: Sexy 
  Fwd: Crazy illegal Sex! 
  Fwd: image.jpg 
  Fwd: Photo 
  give me a kiss 
  Miss Lebanon 2006 
  My photos 
  Part 1 of 6 Video clipe 
  Photos 
  Re: 
  Re: Sex Video 
  School girl fantasies gone bad 
  The Best Videoclip Ever 
  You Must View This Videoclipe!
  

• Temat (wybierany z poniższych możliwości):

  
  ----- forwarded message ----- 
  
  >> forwarded message 
  
  forwarded message attached. 
  
  Fuckin Kama Sutra pics 
  
  hello, i send the file. Bye 
  
  Hot XXX Yahoo Groups 
  
  how are you? i send the details. 
  
  i attached the details. Thank you. 
  
  i just any one see my photos. It's Free :) 
  
  Note: forwarded message attached. 
  You Must View This Videoclip! 
  
  Please see the file. 
  
  Re: Sex Video 
  
  ready to be FUCKED ;) 
  
  The Best Videoclip Ever 
  
  VIDEOS! FREE! (US$ 0,00) 
  
  What?
  

• Nazwa załącznika (wybierana z poniższych możliwości):

  007.pif 
  04.pif 
  3.92315089702606E02.UUE 
  677.pif 
  Attachments[001].B64 
  document.pif 
  DSC-00465.Pif 
  DSC-00465.pIf 
  eBook.PIF 
  eBook.Uu 
  image04.pif 
  New_Document_file.pif 
  Original Message.B64 
  photo.pif 
  School.pif 
  SeX.mim 
  WinZip.BHX 
  Word_Document.hqx 
  Word_Document.uu
  

Rozprzestrzenianie - otwarte zasoby sieciowe

Robak kopiuje się z nazwą Winzip_TMP.exe do następujących zasobów sieciowych:

ADMIN$
C$

Dodatkowe funkcje robaka

Szkodnik podejmuje próby zamykania procesów i usuwania kluczy rejestru powiązanych z programami antywirusowymi i zaporami ogniowymi.

Robak może również pobierać własne uaktualnienia z Internetu, bez wiedzy i zgody użytkownika zainfekowanego komputera.

W pewnych okolicznościach robak może blokować mysz i klawiaturę.

3 dnia każdego miesiąca, 30 minut po restarcie komputera robak niszczy (nadpisuje) pliki posiadające następujące rozszerzenia:

.doc 
.xls 
.mdb 
.mde 
.ppt 
.pps 
.zip 
.rar 
.pdf 
.psd 
.dmp

Pliki uszkodzone przez robaka zawierają następujący tekst:

DATA Error [47 0F 94 93 F4 F5]