Panda Software предупреждава за появата на Nopir.A. Това е червей, който изтрива всички файлове с COM или MP3 разширения от заразения компютър. Заради това на компютри с Windows 2003/XP/2000/NT, файлът NTDETECT.COM ще бъде изтрит и компютърът няма да се стартира.
Този червей модифицира някои настройки на компютъра, тъй като деактивира Task Manager, Windows Registry Editor и Windows Control Panel.

Nopir.A също модифицира определени входове в Windows Registry, за да бъде стартиран когато потребителят стартира файл с някое от следните разширения EXE, COM, PIF, SCR, CMD, BAT, REG, VBE или VBS. Освен това, ако Nopir.A бъде изтрит без да бъдат взети предварителни мерки, потребителят няма да има възможност да стартира файлове с такива разширения.

Nopir.A се разпространява чрез peer-to-peer (P2P) програмата за споделяне на файлове eMule.

Стратегия на заразяване:

Nopir.A създава следните файлове, копия на червея:

- NCTRUP.EXE в подпапка, наречена PROJECTS VISUAL STUDIO.NET, в директорията Program Files.
- VXST.EXE в подпапка, наречена RESTORE, в директорията Program Files.

Nopir.A създвава следните входове в Windows Registry:

- HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
securw = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Verif = C: Program Files Restore vxst.exe
Чрез тях, Nopir.A си осигурява активиране при следващо стартиране на Windows.

- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
NoControlPanel = 1
Този вход деактивира Control Panel.

- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
DisableRegistryTools = 1
Чрез този вход, Nopir.A деактивира Windows Registry Editor.

- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
DisableTaskMgr = 1
Чрез този вход червеят деактивира Task Manager.

Nopir.A модифицира следните входове в Windows Registry:

- HKEY_CLASSES_ROOT batfile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT cmdfile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT comfile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT exefile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT piffile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT regfile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT scrfile shell open command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT VBEFile Shell Open Command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
- HKEY_CLASSES_ROOT VBSFile Shell Open Command
(Default) = C: Program Files Projects Visual Studio.NET Nctrup.exe
Тези входове позволяват Nopir.A да бъде стартиран заедно с файл, който има някое от следните разширения: BAT, CMD, COM, EXE, PIF, REG, SCR, VBE или VBS.

Начини на предаване:

Nopir.A прави следното:

- Създава свое копие в директорията INCOMING на eMule.
- Това копие има файлово име ANYDVD 5.1.0.1 CRACK + KEYGEN BY RAZOR.EXE.
- Други потребители на eMule могат да достигат до тази директория. Те могат да си изтеглят файла, мислейки си че е полезна компютърна програма. Всъщност си изтеглят копие от червея. Компютърът се заразява при стартиране на изтегления файл.