Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2006 > CERT-FI varoitus 07/2006

CERT-FI varoitus 07/2006

21.1.2006

Nyxem.E -haittaohjelma leviää

Nyxem.E on sähköpostimato, joka havaittiin ensimmäisen kerran 20.1.2005. Nyxem.E saastuttaa Microsoft Windows tietojärjestelmiä. Haittaohjelma saastuttaa koneen sekä käyttäjän avattua sähköpostin liitetiedoston että tietokoneen etäjakojen avulla.

Saastuttaessaan kohdejärjestelmän Nyxem.E kopioi itsensä seuraaviin kohteisiin:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe

Tämän jälkeen Nyxem.E lisää Windows-käyttöjärjestelmän rekisteriasetuksiin seuraavan arvon varmistaakseen haittaohjelmakoodin aktivoitumisen, kun tietojärjestelmän käyttäjä kirjautuu järjestelmään tai järjestelmä uudelleenkäynnistetään:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

Saastutettuaan kohdejärjestelmän Nyxem.E kerää sähköpostiosoitteita Internet Explorer -selainohjelman välimuistikansioissa olevista tiedostoista. Tämän jälkeen haittaohjelma lähettää kopion itsestään löytämiinsä sähköpostiosoitteisiin.

Saastutettuaan kohdejärjestelmän Nyxem.E yrittää myös etsiä etäjakoja, joihin se kopioi itsensä seuraaviin kohteisiin:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.EXE
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\Winzip Quick Pick.exe

Samanaikaisesti Nyxem.E yrittää poistaa seuraavan tiedoston:

\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\Winzip Quick Pick.lnk

HUOMIOITAVAA:

Joka kuukauden kolmantena päivänä Nyxem.E yrittää tuhota kohdejärjestelmästä seuraavantyyppiset tiedostot:

*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp

Haittaohjelma korvaa tiedostojen sisällöt tekstillä "DATA Error [47 0F 94 93 F4 K5]".

Nyxem.E yrittää sammuttaa koneella olevat tietoturva- ja tiedostonjako-ohjelmat. Haittaohjelma yrittää myös tuhota tietoturvaohjelmien tiedostot.

VAROITUKSEN KOHDERYHMÄ:

  • Kaikki Microsoft Windows -käyttöjärjestelmät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Käytä ajantasaisella virustunnistustietokannalla varustettua virustorjuntaohjelmistoa. Vältä avaamasta outoja tai tuntemattomilta ihmisiltä tulleita sähköpostiviestejä.

LISÄTIETOA:

http://www.f-secure.com/v-descs/nyxem_e.shtml

http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html

PÄIVITYSHISTORIA:

21.01.2006: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio