Najkraće rečeno, Nyxem.E je Email crv koji za širenje osim Email poruka koristi i File Share mreže. Uz to pokušava da onesposobi razne sigurnosne programe, kao i da obriše dokumente koje pronade na zaraženim računarima.
Brisanje datoteka koje pronade na disku zaraženog računara je ovoj varijanti Nyxem virusa donelo puno medijske pažnje, toliko da je povremeno dostizala nivo panike. Sa druge strane, brisanje datoteka je nešto što do sada nije bilo svojstveno savremenim Email crvima, tačnije, zadnjih desetak godina važniji virusi nisu pokušavali da unište svoje «domaćine» vec su pokušavali da skriveno od očiju vlasnika nastave rad «na crno».
Veličina virusa je oko 100 KB, pisan je u Visial Basic jeziku, a prvi primerci uhvaćeni su krajem januara 2006. I ovoga puta imamo zbrku sa imenima kojima je Nyxem.E označen, to su: W32.Blackmal.E@mm, Kama Sutra, W32/MyWife.d@MM, Email-Worm.Win32.Nyxem.e. Večina imena je opisnog karaktera: „ucena“, „kama sutra“ ili „moja žena“ i posledica su tehnika socijalnog inženjeringa ranijih verzija Nyxem-a.
Pri pokretanju, Nyxem.E simulira rad WinZip programa i instalira rundll16.exe, scanregw.exe, Update.exe i Winzip.exe u Windows sistemske direktorijume. Za pokretanje priprema Registry ključ:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"
Za dalje širenje Nyxem.E sakuplja Email adrese pretražujući datoteke tipa .htm, .dbx, .eml, .msg, … pri čemu standardno izbegava adrese koje sadrže imena vodećih Anti-Virus firmi i proizvođača sistemskog PC softvera. Pri slanju zaraženih Email poruka, Nyxem.E formira naslov poruke simulirajući slanje video klipova i slika “za odrasle”.
Dodatak uz poruku je najčešce tipa .PIF, ali može biti i .SCR, .HQX, .B64, .UUE, .BHX.
Suštinski problem sa Nyxem-om je u tome što svakog 3-ceg dana u mesecu pokreće proces koji briše datoteke. Do ovoga dolazi tačno 30 minuta posle startovanja računara i pokretanja virusa, tako što Nyxem prolazi kroz sve logičke diskove (što znači i mrežne i USB diskove, ako ih pronade) i traži *.doc, *.xls, *.mdb. *.ppt (što su Office dokumenti vezani za Word, Excel, Access i Power Point), zaključno sa *.pdf i *.zip i *.rar (što su PDF dokumenti i ZIP i RAR arhive). Kada pronađe ovakve dokumente umesto njihovog sadržaja upisuje tekst:
"DATA Error [47 0F 94 93 F4 K5]".
Jasno je da zaraženi PC ostaje bez skoro svega vrednog - po pitanju korisnikovih podataka i dokumenata.
Borba protiv sigurnosnih sistema je višestuka, Nyxem.E pronalazi i deaktivira niz programa, ali i briše fascikle sa podacima važnim za njihovo normalno funkcionisanje (kao što su Anti-Virus baze), kao i kompletne instalacije ovakvih programa (Norton AntiVirus, Kaspersky Anti-Virus Personal, Panda Antivirus 6.0 Platinum…).
Iz razloga koji nisu potpuno jasni Nyxem.E dodaje i nekoliko ključeva u Registry bazu, a u stanju je i da izmeni Active Desktop da bi pokrenuo novu kopiju virusa putem Active X kontrole.
Nyxem.E ima još jedno skriveno iznenađenje, a to je svojevrsni “brojač zaraza”, koji je u stvari klasični brojač Web poseta određenoj Web stranici na Internetu. Zaraženi računar poziva stranicu sa brojačem, koji se posle svake ovakve posete uvećava.
Iz raznih razloga Anti-Virus firme ne objavljuju tačnu adresu ove strane, verovatno da bi stanje tog brojača ostalo koloko toliko objektivno. Međutim iritirani raznim procenama stotina hiljada zaraženih računara, posle sat vremena upornog pretraživanja smo ipak pronašli pomenuti “brojač”.
Umesto par stotina hiljada, pronašli smo vrednost vecu od 15 miliona, uz glasine da su pojedini timovi iz Internet podzemlja odavno pronašli ovu stranu i “napumpali” vrednost do apsurda (http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247).
RCN je Internet provajder koji pruža i usluge kablovske televizije.
Prvih dana februara, u očekivanju razornog delovanja Nyxem-a, dolazilo je do raznih tužnih i komičnih situacija. Izvori iz Indije su navodili brojeve od 80.000 zaraženih računara. Procene vezane za famozni Web brojač, koji je tih dana pokazivao 500.000 “zaraza” špekulisale su sa brojem istog reda veličine…
Korisnicima PC računara je savetovano preventivno “spašavanje” podataka i apstinencija tokom 3-ceg dana u mesecu. Na ovo su drugi odgovorali da je greška u sistemskom vremenu kućnog računara uobičajena stvar, tako da do gubitka podataka može doći u vecem obimu i 2. ili 4. u mesecu…
Neimenovani grad u Italiji je pogasio svoje računare kako bi izbegao “katastrofu”.
F-Secure je na svom sajtu prikazao dijagram širenja Nyxem-a po celom svetu, koji se zbog velikog broja “crvenih tačkica” lako mogao pogrešno protumačiti – kao da je ceo svet zaražen.
Za sve to vreme McAfee, Symantec i Trend Micro nisu podigli nivo opasnosti preko “srednjeg” ili “žutog signala”.
Suština je da se nije lako profesionalno postaviti povodom kompjuterskih virusa. Ako kao stručnjak kažete “ovo nije prava opasnost” – rizikujete da obični korisnik pri sledećem susretu ostane ne zainteresovan. A to neće biti dobro ni za koga. Ako dolijete samo malo ulja na vatru, tek da bi se situacija shvatila ozbiljno – rizikujete paniku svetskih razmera.
Kako se tih dana medijska pažnja okrenula potpuno ka Nyxem-u, tako je autor Bagle virusa počeo da na sat vremena pušta nove varijante. Bagle recept je potpuno suprotan Nyxem-u, a to je “što manje talasanja”. Sa druge strane Bagle virusi već godinama nemilosrdno deaktiviraju Anti-Virus zaštite, omogućavajući drugim virusima životni prostor.
Od svega je najinteresantniji prodor Hoax-a o “Invitation” (tj. pozivnica) virusu koji spaljuje elektroniku tvrdih diskova. Čistom koincidencijom, spremajući baš ovu priču o Nyxem virusu, vaš reporter je primio Email poruku od prijatelja o novoj, još strašnijoj “Invitation” opasnosti…
U samoj poruci sa prepoznatljivom parolom “Pošalji ovo svima koga znaš” je već bilo par stotina Email adresa, od ljudi u Telekomu Srbija, do sekretarica značajnih beogradskih IT firmi. (Sasvim dovoljno svežih adresa da se pokrene sopstvena Spam kampanja). Međutim, umesto toga, vaš reporter je odabrao par značajnih Email adresa i