Nyxem.E -haittaohjelma leviää

Nyxem.E on sähköpostimato, joka havaittiin ensimmäisen kerran 20.1.2005. Nyxem.E saastuttaa Microsoft Windows tietojärjestelmiä. Haittaohjelma saastuttaa koneen sekä käyttäjän avattua sähköpostin liitetiedoston että tietokoneen etäjakojen avulla.

Saastuttaessaan kohdejärjestelmän Nyxem.E kopioi itsensä seuraaviin kohteisiin:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe

Tämän jälkeen Nyxem.E lisää Windows-käyttöjärjestelmän rekisteriasetuksiin seuraavan arvon varmistaakseen haittaohjelmakoodin aktivoitumisen, kun tietojärjestelmän käyttäjä kirjautuu järjestelmään tai järjestelmä uudelleenkäynnistetään:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

Saastutettuaan kohdejärjestelmän Nyxem.E kerää sähköpostiosoitteita Internet Explorer -selainohjelman välimuistikansioissa olevista tiedostoista. Tämän jälkeen haittaohjelma lähettää kopion itsestään löytämiinsä sähköpostiosoitteisiin.

Saastutettuaan kohdejärjestelmän Nyxem.E yrittää myös etsiä etäjakoja, joihin se kopioi itsensä seuraaviin kohteisiin:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.EXE
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\Winzip Quick Pick.exe

Samanaikaisesti Nyxem.E yrittää poistaa seuraavan tiedoston:

\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\Winzip Quick Pick.lnk

HUOMIOITAVAA:

Joka kuukauden kolmantena päivänä Nyxem.E yrittää tuhota kohdejärjestelmästä seuraavantyyppiset tiedostot:

*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp

Haittaohjelma korvaa tiedostojen sisällöt tekstillä "DATA Error [47 0F 94 93 F4 K5]".

Nyxem.E yrittää sammuttaa koneella olevat tietoturva- ja tiedostonjako-ohjelmat. Haittaohjelma yrittää myös tuhota tietoturvaohjelmien tiedostot.

Varoituksen kohderyhmä

  • Kaikki Microsoft Windows -käyttöjärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet

Käytä ajantasaisella virustunnistustietokannalla varustettua virustorjuntaohjelmistoa. Vältä avaamasta outoja tai tuntemattomilta ihmisiltä tulleita sähköpostiviestejä.

Lisätietoa

http://www.f-secure.com/v-descs/nyxem_e.shtml

http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248