Name: W32/Surnova-B Type: Win32 worm Date: 31 July 2002 Sophos has received several reports of this worm from the wild. Description W32/Surnova-B is a worm that spreads using the KaZaA network software installation and the MSN instant messenger utility. The worm will initially copy itself to the Windows folder with the one of the following filenames: Alles-ist-vorbei.exe Desktop-shooting.exe Hello-Kitty.exe BigMac.exe Cheese-Burger.exe Blaargh.exe W32/Surnova-B sets the following registry entry to point to the new copy of the worm so that the file is run when Windows starts up: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Supernova When first executed the worm displays the fake error message "Application attempted to read memory at 0xFFFFFFFFh Terminating application" W32/Surnova-B queries the following registry entry for a folder that is shared across the KaZaA network: HKLM\Software\KaZaA\LocalContent If a value is not found then the folder C:\<Windows>\Media is used. The worm then creates thirty eight copies of itself in this folder with the following filenames: Windows XP key generator.exe Windows XP serial generator.exe Key generator for all windows XP versions.exe Warcraft 3 ONLINE key generator.exe Half-life ONLINE key generator.exe Quake 4 BETA.exe Grand theft auto 3 CD1 crack.exe GTA3 crack.exe Battle.net key generator (WORKS!!).exe Warcraft 3 battle.net serial generator.exe Half-life WON key generator.exe Star wars episode 2 downloader.exe Winzip 8.0 + serial.exe Winrar + crack.exe Britney spears nude.exe Macromedia MX key generator (all products).exe KaZaA media desktop v2.0 UNOFFICIAL.exe Microsoft key generator, works for ALL microsoft products!!.exe Microsoft Windows XP crack pack.exe Hack into any computer!!.exe DivX codec v6.0.exe DivX newest version.exe DivX.exe DivX pro key generator.exe Key generator for over 1,000 applications (really!).exe DivX patch - Increases quality.exe KaZaA spyware remover.exe Age of empires 2 crack.exe Norton antivirus 2002.exe Macromedia Dreamweaver MX Key Generator.exe Macromedia Flash MX Key Generator.exe Neverwinter nights crack.exe Microsoft Office XP (english) key generator.exe Microsoft Office XP.iso.exe CloneCD + crack.exe CloneCD all-versions key generator.exe XBOX emulator (WORKS!!).exe Gamecube Emulator (WORKS!!).exe Xbox.info.exe W32/Surnova-B will also attempt to send itself to contacts in the infected user's Messenger contact list. The worm will arrive with one of the following messages: Hehe, check this out Funny, check it out (h) LOL!! See this LOL!! Check this out Hehe, this is fun The worm creates a text file in the Windows folder with a name consisting of randomly generated digits. The text file contains the text W32.Supernova - Ban religion Patch the leaks or the ship will sink More information about W32/Surnova-B can be found at http://www.sophos.com/virusinfo/analyses/w32surnovab.html
Hi FanJ, You are doing a great job here. Thought you might want to also use this site for one of your resources. They are always one step ahead Surnova seems to upto version "G"..but you know how it goes with that name thingie How is your Spanish? http://www.vsantivirus.com/ If not..give this one a shot..... http://translate.google.com/translate?hl=en&sl=es&u=http://www.vsantivirus.com/&prev=/search%3Fq%3DW32/Manymize-A%26hl%3Den%26lr%3D%26ie%3DUTF-8%26client%3Dgooglet Great site. Regards, John
Nice site, isn't it John? btw: this worm is named over there - under a different alias (as you probably did notice ) Couldn't agree more about Jan! regards. paul
Yes they do..and it appears they have more definitions.... VSantivirus No. 753 - Año 6 - Miércoles 31 de julio de 2002 W32/Supova.G. Se propaga por KaZaa y MSN Messenger http://www.vsantivirus.com/supova-g.htm Nombre: W32/Supova.G Tipo: Gusano de Internet Alias: W32/Surnova-B, WORM_SURNOVA.G, W32.Supova.Worm, W32.Kitty.Worm , W32/Supernova, W32/Kitty, Worm.P2P.Surnova.g, W32/Supova, W32/Surnova-f, W32.Supova, Win32.Supova.G, Worm.P2P.Surnova, Win32/Supova.G.Worm Fecha: 30/jul/02 Tamaño: 45,056 bytes Este gusano, al ejecutarse permanece residente en memoria y genera numerosas copias de si mismo en la carpeta de archivos compartidos mediante la red KaZaa o en la carpeta Windows\Media. Puede propagarse tanto a través de los usuarios de KaZaa, la famosa red p2p (peer-to-peer) que permite intercambiar videos, MP3, imágenes, etc. en conexiones computadora a computadora, como a través del MSN Messenger, enviándose a su lista de contactos. Al ejecutarse, el gusano crea una copia de si mismo usando uno de los siguientes nombres: C:\Windows\Alles-ist-vorbei.exe C:\Windows\Desktop-shooting.exe C:\Windows\Hello-Kitty.exe C:\Windows\BigMac.exe C:\Windows\Cheese-Burger.exe C:\Windows\Blaargh.exe 'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000). También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Supernova = [Nombre de una de las copias del gusano] El gusano muestra al ejecutarse un mensaje de error para engañar al usuario, haciéndolo pensar que la supuesta utilidad descargada no funciona correctamente: Application attempted to read memory at 0xFFFFFFFFh Terminating application El gusano examina en la clave HKLM\Software\KaZaA\LocalContent, la ubicación de la carpeta compartida de la red KaZaa. Si no encuentra allí un valor, utiliza en su lugar la carpeta C:\Windows\Media En cualquiera de los dos casos (carpeta del KaZaa o carpeta Media), el gusano crea los siguientes archivos, todos copias del propio gusano: Windows XP key generator.exe Windows XP serial generator.exe Key generator for all windows XP versions.exe Warcraft 3 ONLINE key generator.exe Half-life ONLINE key generator.exe Quake 4 BETA.exe Grand theft auto 3 CD1 crack.exe GTA3 crack.exe Battle.net key generator (WORKS!!).exe Warcraft 3 battle.net serial generator.exe Half-life WON key generator.exe Star wars episode 2 downloader.exe Winzip 8.0 + serial.exe Winrar + crack.exe Britney spears nude.exe Macromedia MX key generator (all products).exe KaZaA media desktop v2.0 UNOFFICIAL.exe Microsoft key generator, works for ALL microsoft products!!.exe Microsoft Windows XP crack pack.exe Hack into any computer!!.exe DivX codec v6.0.exe DivX newest version.exe DivX.exe DivX pro key generator.exe Key generator for over 1,000 applications (really!).exe DivX patch - Increases quality.exe KaZaA spyware remover.exe Age of empires 2 crack.exe Norton antivirus 2002.exe Macromedia Dreamweaver MX Key Generator.exe Macromedia Flash MX Key Generator.exe Microsoft Office XP (english) key generator.exe Microsoft Office XP.iso.exe CloneCD + crack.exe CloneCD all-versions key generator.exe XBOX emulator (WORKS!!).exe Gamecube Emulator (WORKS!!).exe Xbox.info.exe Spiderman CD 1 of 2.exe Spiderman CD 2 of 2.exe Blade 2 [DVD Quality].exe El gusano también examina si el MSN Messenger está activo, y en caso afirmativo, envía uno de los siguientes mensajes a la lista de contactos del usuario del programa: Hehe, check this out Funny, check it out (h) LOL!! See this LOL!! Check this out Hehe, this is fun Si el gusano se ejecuta fuera de la carpeta Windows, un archivo de texto con nombre aleatorio (ejemplo 947388326.txt) se crea en el directorio Windows, conteniendo el siguiente mensaje: W32.Supernova --------------------------------------- 'Patch the leaks or the ship will sink' --------------------------------------- En ocasiones, el gusano también muestra el siguiente mensaje dependiendo de un contador interno: Just checkin’ the walls Patch the leaks or the ship will sink Reparación manual Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma: 1. Actualice sus antivirus 2. Ejecútelos en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados 4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: Supernova 7. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). http://www.vsantivirus.com/supova-g.htm