Win32.NiceHello.A@mm( N/A )
SYMPTOMS: - the file \"systemsys64dvr.exe\" or \"system32sys64dvr.exe\" in the Windows folder;- the registry entry \"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\System 64 Driver for Games\" = \"sys64drv.exe\"; TECHNICAL DESCRIPTION: Win32.NiceHello.A@mm is a mass-mailer written in Borland Delphi and compressed with UPX. It arrives in an email message with the following characteristics:Subject: Codigo fuente Body: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos Attachment: Codigo.exe Subject: Mis primeras animaciones Body: Te mando la primera animacipn en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos Attachment: Animacion.exe Subject: parche Body: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos Attachment: Parche.exe Subject: Actualizacion de programa Body: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos Attachment: Actualizacion.exe Subject: Datos ultimo trimistre Body: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos Attachment: Datos.exe Subject: Presentaciones PowerPoint Body: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos Attachment: Presentaciones.exe Subject: ahora el juego va a funcionar Body: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos Attachment: ParcheJuego.exe Subject: Fotos ultima fiesta Body: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye Attachment: Fotos.exe Subject: Video de la ultima reunion de amigos, recuerda que es solo para vos Body: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos Attachment: Video.exe Subject: Animaciones en flash de nuestros politicos Body: Mira las animaciones sobre la clase politica del pais, recuerda que es solo para vos Attachment: Politicos.exe An example is shown here: If the user runs the attached file, it copies itself as \"systemsys64dvr.exe\" or \"system32sys64dvr.exe\" in the Windows folder and the registry entry \"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\System 64 Driver for Games\" = \"sys64drv.exe\" is created; the writer probably intended the virus to copy itself in the Windows System folder as \"sys64dvr.exe\" and to run at start-up. The virus sends email messages (in the format described above) to the user\'s MSN/.NET Messenger\'s contacts; it also tries to send a notification email: From: nemesis@olimpo.com To: jcrivas77@yahoo.com Subject: Hello world :) have a nice day Body: Eventually, the following message box is displayed: and the virus terminates its execution. Removal instructions: Manual Removal:Delete the file and the registry entry described in the Symptoms section. Automatic Removal: Let BitDefender delete infected files. ANALYZED BY: Bogdan DraguBitDefender Virus Researcher |