F-Secure: Be Sure
Main
F-Secure Logo - Be Sure
Select local site


Privacy Policy
Legal Notices
Contact Us

F-Secure Virus Descriptions : NiceHello





NAME:NiceHello
ALIAS:Worm/NiceHello, I-Worm.Nicehello, W32/Nicehello@MM, W32.Nicehello@mm

NiceHello is an email worm which uses MSN Messenger contact list to collect email addresses. The worm steals the user's MSN personal login information and sends it to a predefined email address to the virus writer.

Spreading through email

NiceHello collects email addresses from the user's MSN Messenger contact list. Using its own SMTP engine it sends infected messages to those addresses.

The worm has several hardcoded messages that it sends with the infected attachment. 

 Subject: Codigo fuente
 Body: Hola, te mando el codigo fuente que te prometi, esta comprimido;
          ya sabes esto es solo para vos!!. Saludos
 Attachment: Codigo.exe


 Subject: Mis primeras animaciones
 Body: Te mando la primera animacion en flash sobre nuestros amigos;
          espero tus comentarios, recuerda que es solo para vos
 Attachment: Animacion.exe


 Subject: parche
 Body: El parche del programa que me pediste. Cualquier cosa estoy para
          ayudarte. recuerda que es solo para vos
 Attachment:  Parche.exe


 Subject:  Actualizacion de programa
 Body: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo,
          recuerda que es solo para vos
 Attachment:  Actualizacion.exe


 Subject:  Datos ultimo trimistre
 Body: Los datos del ultimo trimestre esta en el archivo adjunto, estan
          comprimidos, recuerda que es solo para vos
 Attachment: Datos.exe


 Subject:  Presentaciones PowerPoint
 Body: Las presentaciones en power point que tenia que mandarte, estan
          comprimidas en el archivo adjunto, recuerda que es solo para vos
 Attachment:  Presentaciones.exe


 Subject:  ahora el juego va a funcionar
 Body: El parche para el juego que mas te gusta, esta comprimido,
          recuerda que es solo para vos
 Attachment:  ParcheJuego.exe


 Subject:  Fotos ultima fiesta
 Body: Hola, como estas, te mando las fotos de la ultima fiesta, por
          cierto tienes una cara!!!. , recuerda que es solo para vos. bye
 Attachment:  Fotos.exe


 Subject:  Video de la ultima reunion de amigos, recuerda que es solo para vos
 Body: Hola, te mando el video de la ultima fiesta, no se ve muy bien
          pero algo es algo, recuerda que es solo para vos
 Attachment:  Video.exe


 Subject:  Animaciones en flash de nuestros politicos
 Body: Mira las animaciones sobre la clase politica del pais, recuerda que
          es solo para vos
 Attachment:  Politicos.exe

System infection

When the worm is run on a clean computer it copies itself to one of the following directories according to Windows version: 

 'c:\windows\system'
 'c:\winnt\system32'

This copy of the worm is then added to the registry as 

 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System 64 Driver for Games'

so the worm will be run when Windows starts.

Detection

F-Secure Anti-Virus detects the NiceHello worm with the current updates.

[Analysis: Gergely Erdelyi; F-Secure Corp.; March 14th, 2003]