My Bitdefender
  • 0 Shopping Cart

SHARE
THIS ON

Facebook Twitter Google Plus

Win32.NiceHello.A@mm

MEDIUM
MEDIUM
99328 bytes (~256 KB when unpacked)
(N/A)

Symptoms

- the file "systemsys64dvr.exe" or "system32sys64dvr.exe" in the Windows folder;
- the registry entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System 64 Driver for Games" = "sys64drv.exe";

Removal instructions:

Manual Removal:
Delete the file and the registry entry described in the Symptoms section.
Automatic Removal:
Let BitDefender delete infected files.

Analyzed By

Bogdan Dragu BitDefender Virus Researcher

Technical Description:

Win32.NiceHello.A@mm is a mass-mailer written in Borland Delphi and compressed with UPX. It arrives in an email message with the following characteristics:
Subject: Codigo fuente
Body: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
Attachment: Codigo.exe
Subject: Mis primeras animaciones
Body: Te mando la primera animacipn en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
Attachment: Animacion.exe
Subject: parche
Body: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
Attachment: Parche.exe
Subject: Actualizacion de programa
Body: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
Attachment: Actualizacion.exe
Subject: Datos ultimo trimistre
Body: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
Attachment: Datos.exe
Subject: Presentaciones PowerPoint
Body: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
Attachment: Presentaciones.exe
Subject: ahora el juego va a funcionar
Body: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
Attachment: ParcheJuego.exe
Subject: Fotos ultima fiesta
Body: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye
Attachment: Fotos.exe
Subject: Video de la ultima reunion de amigos, recuerda que es solo para vos
Body: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
Attachment: Video.exe
Subject: Animaciones en flash de nuestros politicos
Body: Mira las animaciones sobre la clase politica del pais, recuerda que es solo para vos
Attachment: Politicos.exe
An example is shown here:

If the user runs the attached file, it copies itself as "systemsys64dvr.exe" or "system32sys64dvr.exe" in the Windows folder and the registry entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System 64 Driver for Games" = "sys64drv.exe" is created; the writer probably intended the virus to copy itself in the Windows System folder as "sys64dvr.exe" and to run at start-up.
The virus sends email messages (in the format described above) to the user's MSN/.NET Messenger's contacts; it also tries to send a notification email:
From: nemesis@olimpo.com
To: jcrivas77@yahoo.com
Subject: Hello world :) have a nice day
Body:
Eventually, the following message box is displayed:

and the virus terminates its execution.