high
Summary
Summary
Action- More Information
| Detected by | All Sophos products |
|---|---|
Free virus scan
- Free virus, spyware, and adware scan
- Test your existing anti-virus protection
- Find threats your anti-virus missed
Action
- Summary
- Action
- More Information
Please follow the instructions for removing worms.
Please read the instructions for removing worms.
Windows NT/2000/XP
In Windows NT/2000/XP you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
System 64 Driver for Games = sys64dvr.exe
and delete it if it exists.
Close the registry editor.
More Information
W32/Nicehello-A is a worm that arrives in an email with one of the following sets of characteristics:
Subject line: Codigo fuente
Message text: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
Attached file: condigo.exe
Subject line: Mis primeras animaciones
Message text: Te mando la primera animacion en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
Attached file: animacion.exe
Subject line: parche
Message text: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
Attached file: parche.exe
Subject line: Actualizacion de programa
Message text: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
Attached file: actualizacion.exe
Subject line: Datos ultimo trimistre
Message text: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
Attached file: datos.exe
Subject line: Presentaciones PowerPoint
Message text: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
Attached file: presentaciones.exe
Subject line: ahora el juego va a funcionar
Message text: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
Attached file: parchejuego.exe
Subject line: Fotos ultima fiesta
Message text: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye
Attached file: fotos.exe
Subject line: Video de la ultima reunion de amigos, recuerda que es solo para vos
Message text: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
Attached file: video.exe
Subject line: Animaciones en flash de nuestros politicos
Message text: Mira las animaciones sobre la clase politica del pais, recuerda que es solo para vos
Attached file: politicos.exe
When the worm is first run a copy is intended to be created in the folder C:\Windows\system or C:\winnt\system32 with the filename sys64dvr.exe. A bug will cause the worm to be copied to C:\Windows\systemsys64dvr.exe or C:\winnt\system32sys64dvr instead.
The following registry entry will be created to run the worm when Windows starts up:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
System 64 Driver for Games = sys64dvr.exe
Since the worm is not copied to the correct location the worm will not be run when Windows starts up.
W32/Nicehello-A sends an email to the attacker with details of the victim's MSN account.
W32/Nicehello-A displays a message box containing the text "Microsoft Windows XP or greater required!"
|
