Virus NiceHello

Efectos:

NiceHello provoca los siguientes efectos:

• Envía un correo electrónico al autor del virus con el nombre de usuario y la contraseña de acceso del usuario del equipo afectado a MSN Messenger. Este mensaje tendrá el siguiente formato:
  De: nemesis@olimpo.com
  Para: jcrivas77@yahoo.com
  Asunto: Hello World :-) have a nice day <nombre de usuario de MSN Messenger del usuario del ordenador afectado>
  cuerpo del mensaje: <nombre de usuario y password de MSN Messenger encriptados del usuario del ordenador afectado>
• Envía una copia del gusano a todos los contactos que encuentra en la Lista de contactos de MSN Messenger.

Metodo de infección:

NiceHello crea el siguiente fichero en el directorio de sistema de Windows.

SYS64DVR.EXE. Este fichero contiene el código del gusano.

NicheHello crea la siguiente clave en el Registro de Windows:

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run =
  System 64 Driver for Games %sysdir%\ sys64dvr.exe
  Con ello, NiceHello se ejecutará cada vez que se inicia Windows.

Metodo de propagación:

NiceHello se propaga a través del correo electrónico. Una vez infectado el ordenador, el gusano envia una copia de sí mismo a todas las direcciones que encuentra en la Lista de contactos del programa de mensajería instantánea MSN Messenger.

Este mensaje, con fichero infectado, será uno de los siguientes:

Opción 1

• Asunto: Código fuente
• Cuerpo del mensaje: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
• Fichero adjunto: CODIGO.EXE

Opción 2

• Asunto: Mis primeras animaciones.
• Cuerpo del mensaje: Te mando la primera animación en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos.
• Fichero adjunto: ANIMACION.EXE

Opción 3

• Asunto: Parche
• Cuerpo del mensaje: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
• Fichero adjunto: PARCHE.EXE

Opción 4

• Asunto: Actualización de programa
• Cuerpo del mensaje: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
• Fichero adjunto: ACTUALIZACION.EXE

Opción 5

• Asunto: Datos ultimo trimistre
• Cuerpo del mensaje: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
• Fichero adjunto: DATOS.EXE

Opción 6

• Asunto: Presentación Power Point
• Cuerpo del mensaje: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
• Fichero adjunto: PRESENTACIONES.EXE

Opción 7

• Asunto: ahora el juevo va a funcionar
• Cuerpo del mensaje: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
• Fichero adjunto: PARCHEJUEGO.EXE

Opción 8

• Asunto: Fotos ultima fiesta
• Cuerpo del mensaje: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vosç
• Fichero adjunto: FOTOS.EXE

Opción 9

• Asunto: Video de la ultima reunion de amigos, recuerda que es solo para vos
• Cuerpo del mensaje: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
• Fichero adjunto: VIDEO.EXE

Opción 10

• Asunto: Animaciones en flash de nuestros politicos
• Cuerpo del mensaje: Mira las animaciones sobre la clase politica del pais, recuerda que es solo para vos
• Fichero adjunto: POLITICOS.EXE

Otros detalles:

NiceHello está escrito en lenguaje de programación Borland Delphi. El fichero que provoca la infección tiene un tamaño de 99328 Bytes y está comprimido con UPX.