WORM_NUQEL.VXE
Worm:Win32/Nuqel.Z(Microsoft)
Windows
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %Windows%\regsvr.exe
- %System%\regsvr.exe
- %System%\svchost.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:
- %System%\28463
- %Temporary Internet Files%\Virtualized
- %Application Data%\Microsoft\Windows\Privacl\Low
- %Application Data%\Microsoft\Windows\IECompatCache\Low
- %Application Data%\Microsoft\Windows\IETIdCache\Low
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Técnica de inicio automático
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Msn Messenger = "%System%\regsvr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "Explorer.exe regsvr.exe"
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- www.yahoo.com/{BLOCKED}g.doc
Otros detalles
Este malware define los atributos del/de los siguiente(s) archivo(s) como Oculto y Sistema:
- %System%\regsvr.exe
- %System%\svchost.exe
- %System%\setup.ini
- %System%\setting.ini
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- %System%\setting.ini
- %System%\setup.ini
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)