Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

W32/Neroma@mm, W32/Nearby@mm,
I.worm.neroma.a@mm

Neroma es un destructivo gusano, reportado el 06 de Septiembre del 2003, de propagación masiva a través mensajes de correo con un Asunto relacionado al luctuoso incidente del 11 de Septiembre, ocurrido en los Estados Unidos y un archivo anexado de nombre Nerosys.exe. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en MS Visual Basic y requiere que los sistemas a infectar tengan instalada la librería MSVBVM60.DLL. 

Está desarrollado en Visual Basic, con una extensión de 5.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El mensaje de correo tiene la siguiente característica:

Algunas versiones de navegadores pueden mostrar el archivo anexado como 911.jpg. 

Al ser ejecutado, el gusano se auto-copia al directorio %Windir% con el nombre de NEROSYS.EXE y para activarse la próxima vez que se re-inicie el sistema modifica la siguiente llave de registro en los sistemas basados en la tecnología Windows NT:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Run]
"Winlogon" = "%Windir%\nerosys.exe"

El gusano modifica el archivo SYSTEM.INI para activarse al reiniciarse en Windows 95/98/Me:

WIN.INI
[boot]
shell = Explorer.exe Nerosys.exe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

El gusano borra todos los archivos del directorio de Windows los días 1, 4, 8, 12, 16, 20, 24 y 28 de cada mes. 

Sus payloads son los siguientes:

  • Se propaga masivamente en mensajes de correo, con un Asunto alusivo al 11 de Septiembre. 
  • Se auto-envía a los buzones de correo de la Libreta de Direcciones de MS Outlook. 
  • Modifica el SYSTEM.INI en Windows 95/98/Me. 
  • Borra todos los archivos del directorio de Windows los días 1, 4, 8, 12, 16, 20, 24 y 28 de cada mes. 
  • Será necesario re-instalar el sistema operativo. 

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados