Win32/Noala.B is a worm spreading as attachment of an e-mail message. The worm is compressed by UPX utility having length of 57856 bytes. After it is decompressed it has a length of 208 809 bytes. It operates in Windows 95 or newer versions of Windows operating system.

Win32/Noala.B arrives with the message having subject randomly chosen from following list.

Información sobre la LSSICE
Información sobre la LSSICE y sus consecuencias
Nuestras libertades en internet en peligro
FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
FW:CAMPANA de información sobre la LSSICE
Fw:Te reenvío esta presentación que me ha llegado, ya me contarás
NUEVO VIRUS muy PELIGROSO
Resumen de la ley de internet
Nuevas formas de control
a las buenas
palabrerias
importante ACTUALIZACIÓN PARA WINDOWS
el fichero que me pediste
Acelerador de descargas ultra pequeno!!
Salvapantallas cachondisimo
PandaSoftware: Nueva utilidad para protegerte de hop.b
Ministerio de Ciencia y Tecnología: NUEVO VIRUS

The text in the message body can be as follows.

Te reenvío este resumen crítico con la ley que pretende (en principio) regular el comercio electrónico como viene siendo habitual pretende ir un paso más allá y privarnos de privacidad, echale un vistazo no tiene desperdicio

No sabes lo que es la LSSI?
Es una ley aprobada el 12 de octubre del 2002 con la que el gobierno de espana pretende controlarnos un poco más, en serio, no tiene desperdicio

Te mando este resumen que me han pasado sobre la ley con la cual el gobierno de espana pretende regular el comercio electrónico, en cuanto leas un poco te darás cuenta que va más allá, como siempre... En fin, reenvíaselo a todo el que puedas por favor, entre todos quizás

Desgraciadamente así es, un nuevo virus ha aparecido por la red de la mano del gobierno de espana. No, no es broma, en la presentación que te adjunto tienes más detalles, reenvíaselo a todo el que puedas, seguro que entre todos podemos hacer algo.

Es una presentación sobre la LSSI, una ley aprobada en Espana que según algun país que ahora no recuerdo dijo: Con esta ley la inquisición vuelve a espana. Tu te crees? En fin, reenviaselo a todo el que puedas por favor, entre todos quizas podamos hacer algo

This e-mail message contains an attached file with worm. The name of the file is chosen from following list.

www.putalssi.es.exe
www.mcyt.es.exe
ley.txt.exe
resumen.txt.exe
texto.txt.exe
ley lssi.pdf.exe
ley de servicios de la sociedad de la desinformacion y el comercio
lectronico.txt.exe
NO mas enganos.txt.exe
texto de la lssice.txt.exe
NO A LA LSSICE, NO AL CONTROL.txt.exe
www.senado.lssice.es.exe
Rg2catdb.exe
LEEME.exe
downloadme.exe
xscreensaver.scr
FixWin32.0er45-hop.b.exe
informacion.exe

Note: In following text a symbolic inscription %windir% is used instead of the name of directory in which Windows operating system is installed. Of course, this may differ from installation to installation. The subdirectory System or System32 placed in %windir% has a name %system%.

The worm is activated after the file in the message attachment is run. It creates a file containing its copy in %windir% directory. The name of this file is wucrtupd.exe, and it has attribute of an hidden file. It assures its activation after restarting the operating system by creating the key in the system registry HKEY_CURRENT_USER\Software\microsoft\windows\currentversion\run or in HKEY_CURRENT_USER\Software\microsoft\windowsnt\currentversion\run.

If the infected computer has installed Microsoft ISS, the Win32/Noala.B will try to modify following files.

index.htm
index2.htm
default.html
default2.html
\inetpub\wwwroot\
\inetpub\wwwroot\index.htm
\inetpub\wwwroot\default.html

The worm Win32/Noala.B is also spreading via shared disks within a PC network. It assures its activation on remote computer by modification of win.ini file.

NOD32 detects Win32/Noala.B using extended heuristics without upgrading. The detection of Win32/Noala.B using sample is added from version 1.541.

© 1992-2004 Eset s.r.o. All rights reserved. No part of this Encyclopedia may be reproduced, transmitted or used in any other way in any form or by any means without the prior permission.