Nicehello

NICEHELLO, gusano de propagación masiva, roba nombres de usuarios y claves de acceso de MS Messenger.

W32/NiceHello@mm, I-worm.nicehello@mm

NiceHello es un nocivo gusano reportado el 11 de Marzo del 2003, de alta propagación masiva en países o comunidades de habla hispana, a través de un mensaje de correo con diversos Remitentes, Asuntos y archivos anexados, elegidos en forma aleatoria.

Roba nombres de usuarios y claves de acceso de MS Messenger y los envía a ciertas direcciones de correo de yahoo.com y olimpo.com

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Está desarrollado en Borland Delphi, con una extensión de 97 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).

Usa uno de los siguientes 10 formatos de mensajes de correo:

Formato 1
Asunto: Codigo fuente
Contenido: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes
esto es solo para vos!!. Saludos.
Anexado: Codigo.exe

Formato 2
Asunto: Mis primeras animaciones
Contenido: Te mando la primera animación en flash sobre nuestros amigos; espero tus
comentarios, recuerda que es solo para vos.
Anexado: Animacion.exe

Formato 3
Asunto: parche
Contenido: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte.
recuerda que es solo para vos.
Anexado: Parche.exe

Formato 4
Asunto: Actualizacion de programa
Contenido: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda
que es solo para vos.
Anexado: Actualizacion.exe

Formato 5
Asunto: Datos ultimo trimistre
Contenido: Los datos del ultimo trimestre esta en el archivo adjunto, estan
comprimidos, recuerda que es solo para vos.
Anexado: Datos.exe

Formato 6
Asunto: Presentaciones PowerPoint
Contenido: Las presentaciones en power point que tenia que mandarte, estan comprimidas
en el archivo adjunto, recuerda que es solo para vos.
Anexado: Presentaciones.exe

Formato 7
Asunto: ahora el juego va a funcionar.
Contenido: El parche para el juego que mas te gusta, esta comprimido, recuerda que es
solo para vos.
Anexado: ParcheJuego.exe

Formato 8
Asunto: Fotos ultima fiesta
Contenido: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes
una cara!!!. , recuerda que es solo para vos. bye
Anexado: Fotos.exe

Formato 9
Asunto: Video de la ultima reunion de amigos, recuerda que es solo para vos
Contenido: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es
algo, recuerda que es solo para vos.
Anexado: Video.exe

Formato 10
Asunto: Animaciones en flash de nuestros politicos
Contenido: Mira las animaciones sobre la clase politica del pais, recuerda que es solo
para vos.
Anexado: Politicos.exe

Al ejecutar el archivo anexado, el gusano se auto-copia a la carpeta %System% como Sys64svr.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
System 64 Driver for Games = "%System%\Sys64svr.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Una vez activado, el gusano se conecta a la dirección IP 65.173.56.33 en el puerto 53 (DNS) enviando una petición al servidor para resolver el nombre del host asociado, a determinadas direcciones IP de yahoo.com y olimpo.com.

En este caso el IP empleado es un servidor DNS (Domain Name Server) perteneciente a AES Communications Bolivia S.A., que con toda seguridad ignora el uso que el autor de esta especie viral le ha dado a su servicio.

El gusano roba los nombres de los usuarios y claves de acceso del MS Messenger de los sistemas infectados y los auto-envía a unas direcciones de correo encriptadas dentro del código viral.

Infecta únicamente a los sistemas operativos en español y ciertos errores en su programación (bugs) hacen que el gusano no funcione correctamente en algunas versiones de Windows, que no han sido actualizadas con los últimos parches emitidos por Microsoft.

Existen 3 clases de peticiones que un Cliente puede solicitar resolver a un servidor DNS (Servidor de Nombres):

1. Petición recursiva: se solicita una respuesta al servidor de nombres con los datos solicitados o con un error, indicando que los datos de la petición no existen o que el nombre del dominio no existe.

2. Petición interactiva: el servidor de nombres envía al Cliente la mejor respuesta que conoce en ese instante, en tiempo real.

3. Petición inversa: el Cliente envía una petición al servidor para resolver el nombre de host asociado a una determinada dirección IP (esta es la empleada por el gusano).

Dentro del código del virus se puede leer este texto:

"Hello World:) have a nice day"

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de las librerías MAPI.
Se conecta a una dirección IP 65.173.56.33 en el puerto 53 de un Servidor de Nombres de Dominio, enviando una petición al servidor para resolver el nombre del host asociado, a determinadas direcciones IP de yahoo.com y olimpo.com.
Roba los nombres de los usuarios y claves de acceso del MS Messenger de los sistemas infectados y los auto-envía a unas direcciones de correo encriptadas dentro del código viral.

PER ANTIVIRUS® versión 7.9 con registro de virus al 11 de Marzo del 2003 detecta y elimina eficientemente este gusano.