W32/Surnova-B

Discussion in 'malware problems & news' started by FanJ, Jul 31, 2002.

Thread Status:
Not open for further replies.
  1. FanJ

    FanJ Guest

    Name: W32/Surnova-B
    Type: Win32 worm
    Date: 31 July 2002


    Sophos has received several reports of this worm from the wild.

    Description
    W32/Surnova-B is a worm that spreads using the KaZaA network software installation and the MSN instant messenger utility. The worm will initially copy itself to the Windows folder with the one of the following filenames:

    Alles-ist-vorbei.exe
    Desktop-shooting.exe
    Hello-Kitty.exe
    BigMac.exe
    Cheese-Burger.exe
    Blaargh.exe

    W32/Surnova-B sets the following registry entry to point to the new copy of the worm so that the file is run when Windows starts up:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Supernova

    When first executed the worm displays the fake error message
    "Application attempted to read memory at 0xFFFFFFFFh
    Terminating application"

    W32/Surnova-B queries the following registry entry for a folder that is shared across the KaZaA network:

    HKLM\Software\KaZaA\LocalContent

    If a value is not found then the folder C:\<Windows>\Media is used. The worm then creates thirty eight copies of itself in this folder with the following filenames:

    Windows XP key generator.exe
    Windows XP serial generator.exe
    Key generator for all windows XP versions.exe
    Warcraft 3 ONLINE key generator.exe
    Half-life ONLINE key generator.exe
    Quake 4 BETA.exe
    Grand theft auto 3 CD1 crack.exe
    GTA3 crack.exe
    Battle.net key generator (WORKS!!).exe
    Warcraft 3 battle.net serial generator.exe
    Half-life WON key generator.exe
    Star wars episode 2 downloader.exe
    Winzip 8.0 + serial.exe
    Winrar + crack.exe
    Britney spears nude.exe
    Macromedia MX key generator (all products).exe
    KaZaA media desktop v2.0 UNOFFICIAL.exe
    Microsoft key generator, works for ALL microsoft products!!.exe
    Microsoft Windows XP crack pack.exe
    Hack into any computer!!.exe
    DivX codec v6.0.exe
    DivX newest version.exe
    DivX.exe
    DivX pro key generator.exe
    Key generator for over 1,000 applications (really!).exe
    DivX patch - Increases quality.exe
    KaZaA spyware remover.exe
    Age of empires 2 crack.exe
    Norton antivirus 2002.exe
    Macromedia Dreamweaver MX Key Generator.exe
    Macromedia Flash MX Key Generator.exe
    Neverwinter nights crack.exe
    Microsoft Office XP (english) key generator.exe
    Microsoft Office XP.iso.exe
    CloneCD + crack.exe
    CloneCD all-versions key generator.exe
    XBOX emulator (WORKS!!).exe
    Gamecube Emulator (WORKS!!).exe
    Xbox.info.exe

    W32/Surnova-B will also attempt to send itself to contacts in the infected user's Messenger contact list. The worm will arrive with one of the following messages:

    Hehe, check this out :)
    Funny, check it out (h)
    LOL!! See this :D
    LOL!! Check this out :)
    Hehe, this is fun :)

    The worm creates a text file in the Windows folder with a name consisting of randomly generated digits. The text file contains the text

    W32.Supernova - Ban religion
    Patch the leaks or the ship will sink



    More information about W32/Surnova-B can be found at
    http://www.sophos.com/virusinfo/analyses/w32surnovab.html
     
  2. Hi FanJ,

    You are doing a great job here. Thought you might want to also use this site for one of your resources. They are always one step ahead :)


    Surnova seems to upto version "G"..but you know how it goes with that name thingie :D

    How is your Spanish?

    http://www.vsantivirus.com/

    If not..give this one a shot.....


    http://translate.google.com/translate?hl=en&sl=es&u=http://www.vsantivirus.com/&prev=/search%3Fq%3DW32/Manymize-A%26hl%3Den%26lr%3D%26ie%3DUTF-8%26client%3Dgooglet

    Great site.

    Regards,

    John
     
  3. Paul Wilders

    Paul Wilders Administrator

    Joined:
    Jul 1, 2001
    Posts:
    12,472
    Location:
    The Netherlands
    Nice site, isn't it John?

    btw: this worm is named over there - under a different alias (as you probably did notice ;) )

    Couldn't agree more about Jan!

    regards.

    paul
     
  4. Yes they do..and it appears they have more definitions....


    VSantivirus No. 753 - Año 6 - Miércoles 31 de julio de 2002

    W32/Supova.G. Se propaga por KaZaa y MSN Messenger
    http://www.vsantivirus.com/supova-g.htm

    Nombre: W32/Supova.G
    Tipo: Gusano de Internet
    Alias: W32/Surnova-B, WORM_SURNOVA.G, W32.Supova.Worm, W32.Kitty.Worm , W32/Supernova, W32/Kitty, Worm.P2P.Surnova.g, W32/Supova, W32/Surnova-f, W32.Supova, Win32.Supova.G, Worm.P2P.Surnova, Win32/Supova.G.Worm
    Fecha: 30/jul/02
    Tamaño: 45,056 bytes

    Este gusano, al ejecutarse permanece residente en memoria y genera numerosas copias de si mismo en la carpeta de archivos compartidos mediante la red KaZaa o en la carpeta Windows\Media.

    Puede propagarse tanto a través de los usuarios de KaZaa, la famosa red p2p (peer-to-peer) que permite intercambiar videos, MP3, imágenes, etc. en conexiones computadora a computadora, como a través del MSN Messenger, enviándose a su lista de contactos.

    Al ejecutarse, el gusano crea una copia de si mismo usando uno de los siguientes nombres:
    C:\Windows\Alles-ist-vorbei.exe
    C:\Windows\Desktop-shooting.exe
    C:\Windows\Hello-Kitty.exe
    C:\Windows\BigMac.exe
    C:\Windows\Cheese-Burger.exe
    C:\Windows\Blaargh.exe

    'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

    También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Supernova = [Nombre de una de las copias del gusano]

    El gusano muestra al ejecutarse un mensaje de error para engañar al usuario, haciéndolo pensar que la supuesta utilidad descargada no funciona correctamente:

    Application attempted to read memory at 0xFFFFFFFFh
    Terminating application

    El gusano examina en la clave HKLM\Software\KaZaA\LocalContent, la ubicación de la carpeta compartida de la red KaZaa.

    Si no encuentra allí un valor, utiliza en su lugar la carpeta C:\Windows\Media

    En cualquiera de los dos casos (carpeta del KaZaa o carpeta Media), el gusano crea los siguientes archivos, todos copias del propio gusano:

    Windows XP key generator.exe
    Windows XP serial generator.exe
    Key generator for all windows XP versions.exe
    Warcraft 3 ONLINE key generator.exe
    Half-life ONLINE key generator.exe
    Quake 4 BETA.exe
    Grand theft auto 3 CD1 crack.exe
    GTA3 crack.exe
    Battle.net key generator (WORKS!!).exe
    Warcraft 3 battle.net serial generator.exe
    Half-life WON key generator.exe
    Star wars episode 2 downloader.exe
    Winzip 8.0 + serial.exe
    Winrar + crack.exe
    Britney spears nude.exe
    Macromedia MX key generator (all products).exe
    KaZaA media desktop v2.0 UNOFFICIAL.exe
    Microsoft key generator, works for ALL microsoft products!!.exe
    Microsoft Windows XP crack pack.exe
    Hack into any computer!!.exe
    DivX codec v6.0.exe
    DivX newest version.exe
    DivX.exe
    DivX pro key generator.exe
    Key generator for over 1,000 applications (really!).exe
    DivX patch - Increases quality.exe
    KaZaA spyware remover.exe
    Age of empires 2 crack.exe
    Norton antivirus 2002.exe
    Macromedia Dreamweaver MX Key Generator.exe
    Macromedia Flash MX Key Generator.exe
    Microsoft Office XP (english) key generator.exe
    Microsoft Office XP.iso.exe
    CloneCD + crack.exe
    CloneCD all-versions key generator.exe
    XBOX emulator (WORKS!!).exe
    Gamecube Emulator (WORKS!!).exe
    Xbox.info.exe
    Spiderman CD 1 of 2.exe
    Spiderman CD 2 of 2.exe
    Blade 2 [DVD Quality].exe

    El gusano también examina si el MSN Messenger está activo, y en caso afirmativo, envía uno de los siguientes mensajes a la lista de contactos del usuario del programa:

    Hehe, check this out :)

    Funny, check it out (h)

    LOL!! See this :D

    LOL!! Check this out :)

    Hehe, this is fun :)

    Si el gusano se ejecuta fuera de la carpeta Windows, un archivo de texto con nombre aleatorio (ejemplo 947388326.txt) se crea en el directorio Windows, conteniendo el siguiente mensaje:

    W32.Supernova
    ---------------------------------------
    'Patch the leaks or the ship will sink'
    ---------------------------------------

    En ocasiones, el gusano también muestra el siguiente mensaje dependiendo de un contador interno:

    Just checkin’ the walls
    Patch the leaks or the ship will sink


    Reparación manual

    Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

    1. Actualice sus antivirus

    2. Ejecútelos en modo escaneo, revisando todos sus discos duros

    3. Borre los archivos detectados como infectados

    4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

    5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

    6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

    Supernova

    7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

    8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
    http://www.vsantivirus.com/supova-g.htm
     
Thread Status:
Not open for further replies.