Descrizione Breve

Nyxem.E è un mass-mailing worm che tenta di diffondersi tramite share remoti. Il worm cerca di disabilitare i security-related e i software di file sharing, così come cerca di eliminare alcuni tipi di file. Nyxem.E è molto simile a Email-Worm.Win32.VB.bi' ed è stato scoperto alcuni giorni dopo.

Tool di disinfezione

F-Secure ha creato una utility per rimuovere Nyxem.E chiamata F-Force, disponibile per il download ai seguenti indirizzi:

ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip
http://www.f-secure.com/tools/f-force.zip

L'utility è distribuita solamente in pacchetti zip che contengono i seguenti file:

• force.exe - file eseguibile
  
• eult.rtf - End User License Terms
  
• readme.rtf - File Readme in formato RTF
  
• readme.txt - File Readme in formato ASCII

Importante: E' necessario leggere i file eult.rtf e readme.rtf prima di utilizzare F-Force.

L'utility F-Force disinfetta solamente alcuni tipi di infezioni, e non esegue scansioni all'interno di archivi compressi. Dopo aver disinfettato il PC con F-Force è consigliato eseguire una scansione di tutti i dischi con F-Secure Anti-Virus.

Descrizione Dettagliata

Il worm è stato scritto in linguaggio Visual Basic e si propaga tramite un file compresso con p-code di circa 95 kb.Quando l'eseguibile viene lanciato apre WinZip. F-Secure ha eseguito delle prove nelle quali Nyxem boloccava anche l'uso della tastiera e del mouse in modo che l'unica opzione disponibile fosse CTRL + alt + DEL per uscire.

Durante l'installazione il worm crea alcuni file nelle seguenti cartelle:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe

dove %Windows% rappresenta la cartella principale di Windows. Nei sistemi operativi Windows di solito è presente il percorso C:\WINDOWS\ mentre invece %System% rappresenta la cartella di Sistema di Windows.

Il worm aggiunge nel registro di sistema, le seguenti chiavi per eseguirsi all'avvio del PC.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

Diffusione tramite e-mail

Il worm colleziona indirizzi e-mail dai file con le seguenti estensioni:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
.IMH
.TXT
.MSF

Il worm cerca i file con le estensioni sopra indicate nella cache di Internet Explorer. I file con le seguenti estensioni vengono invece ignorati:

SYMANTEC
MCAFEE
VIRUS
TREND
PANDA
SECUR
SPAM
NORTON
ANTI
CILLIN
CA.COM
KASPER
TRUST
AVG
GROUPS.MSN
NOMAIL.YAHOO.COM
SCRIBE
EEYE
MICROSOFT
@HOTMAIL
@HOTPOP
@YAHOOGROUPS

Il worm si trasmette come allegato e-mail. Il soggetto della e-mail può essere uno dei seguenti:

The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos

Il corpo della e-mail può contenere uno dei seguenti testi:

Note: forwarded message attached.
Hot XXX Yahoo Groups
F*ckin Kama Sutra pics
ready to be F*CKED ;)
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
Please see the file.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)

how are you?
i send the details.
OK ?

L'allegato che contiene l'infezione solitamente è un file .exe. Il nome del file viene scelto tra uno dei seguenti:

007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
DSC-00465.pIf

In alcuni casi l'allegato viene compresso con MIME e può avere uno dei seguenti nomi:

Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu

Il nome del file all'interno dell'allegato compresso con MIME può essere uno dei seguenti:

New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR

Diffusione tramite share di rete

I worm utilizza differenti metodi di diffusione per infettare la rete. Uno di queste ordina tutti gli share di rete disponibili, e successivamente legge i valori delle seguenti chiavi nel registro di sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Recent"
"Personal"

Il valore contenuto in questa chiave di registro punta direttamente alla cartella dell'utente nella quale sono contenuti i documenti personali e i file recentemente aperti. Se questa cartella viene trovata il worm la apre, ordina i file presenti e successivamente li rinomina con un nome random aggiungendo l'estensione .exe.Come ultima operazione il worm si copia negli share di rete con il nuovo nome. Se all'interno della cartella non sono presenti file, il worm si copia negli share di rete con uno dei seguenti nomi:

New WinZip File.exe
Zipped Files.exe
movies.exe

Un'altra routine di propagazione ricerca gli share di rete specifici e prova a copiarsi utilizzando i seguenti nomi:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe

in alcuni casi il worm elimina il seguente file:

\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

prima di diffondersi il worm controlla se altri computer remoti hanno alcune delle seguenti cartelle,

\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

Se i file vengono trovati Nyxem.E prova a cancellare tutti i file presenti all'interno delle cartelle.

Il worm aggiunge anche un task nei computer remoti per eseguirsi con i privilegi di sistema al minuto 59 dell'ora corrente.

Payload

Il worm contiene un payload molto pericoloso. Se la data del mese equivale al 3 e il file del worm UPDATE.exe è in esecuzione il worm cancella i seguenti file da tutti i dispositivi disponibili:

*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp

I file contenuti vengono sostituiti con la seguente stringa di testo "DATA Error [47 0F 94 93 F4 K5]". Il payload viene attivato 30 minuti dopo che il file UPDATE.exe del worm viene caricato in memoria.

Il worm tenta di disabilitare alcuni security-related e programmi di file sharing, cancellando le chiavi dal registro di sitema che contengono i seguenti valori:

NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare

Le seguenti chiavi sono affette:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

In aggiunta il worm cancella i seguenti file dalle sottocartelle nella cartella Programmi

\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\Morpheus\*.dll

In aggiunta il worm legge la posizione di alcuni programmi dal registro di sistema e cancella certi file. I software affetti sono i seguenti:

VirusProtect6
Norton AntiVirus
Kaspersky Anti-Virus Personal
Iface.exe
Panda Antivirus 6.0 Platinum

Il worm chiude anche le finestre di applicazioni che hanno nel sottotitolo le seguenti stringhe:

SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX

In alcuni casi il worm aggiunge diverse license key nel registro. La maggior parte di queste sembra appartenere a VB6. Inoltre il worm esegue i seguenti cambiamenti nel registro di sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath" = dword:00000001
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = dword:00000000
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView" = dword:00000000

Il worm modifica i file dell'Active Destop in modo da lanciare altre copie di se stesso con il nome 'WinZip_Tmp.exe che usano ActiveX control.

Rilevazione

La rilevazione di Nyxem.E è stata rilasciata il 20 Gennaio 2006 con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version = 2006-01-20_01

Dettagli Tecnici: Alexey Podrezov, 20 Gennaio 2006

F-Secure Corporation