VSantivirus No. 1061 Año 7, Martes 3 de junio de 2003
W32/Naco.C. Deshabilita antivirus y borra archivos
http://www.vsantivirus.com/naco-c.htm
Nombre: W32/Naco.C (Naco.D, Naco.E)
Tipo: Gusano de Internet (P2P)
Alias:
Anacon
CORONA
I.worm.Naco.C@mm
I-Worm.Anacon.c
I-Worm.Nocana.e
I-Worm/Anacon
Naco
Naco.E
Nocana
Troj/Naco.C
W32.Naco.C@mm
W32/Anacon-C
W32/Naco.D
W32/Naco.E
W32/Naco.C@mm
W32/Naco.c@MM
W32/Naco.c@mm
W32/Naco.D@mm
W32/Naco.d@MM
W32/Naco.E@mm
Win32.HLLM.Anacon
Win32.Nocan.C@mm
Win32.Naco.C
Win32/Naco.C
Win32/Naco.C.Worm
Win32/Naco.D
Win32/Naco.D@mm
WORM_CORONA.C
WORM_NACO.C
Fecha: 2/jun/03
Tamaño: 32,768 bytes
Plataforma: Windows 32-bit
El gusano, escrito en Microsoft Visual Basic y comprimido con la utilidad UPX, se propaga vía correo electrónico y a través de las redes de intercambio de archivos entre usuarios, como KaZaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire y otras. También puede utilizar para su propagación, los recursos compartidos en redes.
Posee características de caballo de Troya, lo que compromete la seguridad del usuario de la computadora infectada, al poder tomar un intruso el control total sobre ésta.
Una vez en memoria, el gusano es capaz de desactivar y borrar los programas antivirus y cortafuegos que estuvieran activos en memoria, dejando a la máquina indefensa.
El gusano puede llegar en un mensaje como el siguiente:
Asunto: [uno de los siguientes o en blanco]
Alert! New Variant Anacon.D has been detected!
Crack for Nokia LogoManager 1.3
FoxNews Reporter: There are no Solución for SARS?
Frece SMS Vía NACO SMS!
Get Frece SMTP Server ata Clic Herré!
Get Yogur Frece XXX Password!
Gota baba!
Helé me pl.?
Nelly Furtado!
New! Dragon Ball Fx
News: US Goverment try to make wars with Tehran.
Out of my heart?
Patch for Microsoft Windows XP 64bit
Re: are you married?(3)
Seagate Baracuda 80GB for $???
Small And Destrucive!
TechTV: New Anti Virus Software
TIPs: HOW TO DEFACE A WEBSERVER?
What New in The ScreenSaver!
Yogur FTP Password: iuahdf7d8hf
Texto del mensaje, alguno de los siguientes:
Ejemplo 1:
Hello dear,
I'm gonna missed you babe,
hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon
Ejemplo 2:
Hi babe, Still missing me!
I have send to you a special gift
I made it my own. Just for you.
Check it out the attachment.
Yogur Love,
Rekcahlem
Ejemplo 3:
Great to see you again babe!
This is file you want las week.
Please don't distribute it to
other.
Regard,
V.C.
Ejemplo 4:
Attention!
Please do not eat pork!
The SARS virus may come from the pig.
So becareful. For more
information check the attachment.
Regard, WTO
Ejemplo 5:
(blank)
You may not see the message because
the message has been convert to the
attachment. Please open an attachment
to see the message.
Datos adjuntos: [uno de los siguientes]
Anacon32.Exe
Chicky.Exe
Junkbulk.Exe
Naco.Exe
Seeker.Exe
Cuando se ejecuta, comienza a autoenviarse en mensajes como los ya vistos, a todos los contactos de la libreta de direcciones.
También busca la presencia de las siguientes carpetas, pertenecientes a conocidos programas de intercambio de archivos:
C:\Archivos de programa\
\KMD\My Shared Folder
\Kazaa\My Shared Folder
\KaZaA Lite\My Shared Folder
\Morpheus\My Shared Folder
\Grokster\My Grokster
\BearShare\Shared
\Edonkey2000\Incoming
\limewire\Shared
En aquellas carpetas que encuentre, se copiará con los siguientes nombres:
About SARS Solution.doc.exe
Anacon The Great.exe
DialUp.pif
Dincracker eZine.exe
Dont Eat Pork SARS in there.exe
Downloader.exe
fxanacon.com
Generate a Random PAssword.exe
Get Lost.exe
GetMorePower.exe
Hack In 5 Minute.exe
Hacker HandBook.exe
HeavyMetal.mp3.exe
Hide Yogur Mount.exe
JackAndGinnie.exe
La Intrusa.exe
Lost YourPassword.txt.exe
MSWINSCK.OCX.EXE
NEW POWERTOY FOR WINXP.exe
New Variant.exe
NokiaPolyPhonic.exe
OfficeXP.exe
Oh Yeah Babe.exe
Patch - jdbgmgr.exe
Porta.exe
Replacement Killer 2.avi.exe
Ripley Believe It Or Not.exe
RosalindaAyamor
SMTP OCX.exe
Sucker.exe
The Lost Jungle.mpg.exe
The Matrix Reloaded Trailer.jpg.exe
TIPS HOW TO CRACK SYMANTEC SERVER.txt.exe
TNT.exe
Trailer DOOM III.exe
Uninstal.exe
VISE MINDVISION.exe
WhatIsGoingOn.exe
WindowsSecurity Patch.exe
WinZip9Beta.exe
El gusano posee código para activarse como un troyano de acceso remoto por puerta trasera, capaz de recibir instrucciones de un atacante. Cuando ello sucede, un mensaje es enviado a la siguiente información:
chatza@phreaker.net
Enviando la siguiente información:
- Nombre del ejecutable del troyano
- Sistema operativo
- Versión del Internet Explorer
- Nombre de los directorios de Windows y System
- Resolución de la pantalla
- Hora y fecha actual
- Dirección IP de la máquina infectada
- Puerto por el que se conecta
- Nombre de usuario y de la computadora
- Contraseñas en el caché (solo Windows 95, 98 y Me)
- Nombre del host
- Unidades de disco, nombres y tipos
- Nombre de la computadora
- Número UIN de ICQ
- Tarjeta de sonido
El atacante puede llevar a cabo las siguientes acciones:
- Abrir o cerrar el portapapeles
- Abrir o cerrar la bandeja del CD
- Autoactualizar su propio código
- Cambiar el papel tapiz
- Cambiar la configuración de la pantalla
- Capturar lo tecleado por la víctima
- Ejecutar archivos de video AVI o de sonido WAV
- Enviar códigos de teclas pulsadas a la víctima
- Habilitar o deshabilitar el doble clic del mouse
- Habilitar o deshabilitar las teclas CTRL+ALT+SUPR
- Intercambiar los botones del ratón
- Listar y matar procesos
- Listar, borrar y ejecutar archivos
- Mostrar mensajes
- Mostrar o esconder la barra de tareas
- Quitar al propio troyano
- Reiniciar la computadora
- Terminar conexiones de Internet, etc.
Cuando se ejecuta, el gusano se copia con los siguientes nombres:
c:\windows\system\anacon32.exe
c:\windows\system\sysana32.exe
c:\windows\system\syspoly32.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Luego crea las siguientes entradas, para ejecutarse en el inicio de Windows y para compartir la unidad C con otras unidades como un recurso:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ALM = c:\windows\system\ANACON32.EXE
SysAnacon32 = c:\windows\system\SysAna32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Services = c:\windows\system\ANACON32.EXE
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Under20 = c:\windows\system\ANACON32.EXE
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Under20 = c:\windows\system\ANACON32.EXE
HKLM\SYSTEM\CurrentControlSet\Services\
lanmanserver\Shares\Security
HKLM\SYSTEM\ControlSet001\Services\
lanmanserver\Shares\Security
HKLM\SYSTEM\ControlSet002\Services\
lanmanserver\Shares\Security
HKLM\SYSTEM\CurrentControlSet\Services\
lanmanserver\Shares
HACKERz = [valor hexadecimal]
HKLM\SYSTEM\ControlSet001\Services\
lanmanserver\Shares
HACKERz = [valor hexadecimal]
HKLM\SYSTEM\ControlSet002\Services\
lanmanserver\Shares
HACKERz = [valor hexadecimal]
Para utilizar el cliente ICQ, el gusano también crea la siguiente entrada en el registro:
HKCU\Software\Mirabilis\ICQ\Agent\Apps\Administrator
Startup = "c:\windows\system"
Enable = "Yes"
Parameters = ""
Path = "c:\windows\system\SYSPOLY32.EXE"
Luego busca la presencia de los siguientes procesos en memoria. Si los encuentra los desactiva y luego crea las modificaciones necesarias en el archivo WINNINIT.BAT que se ejecuta luego de un reinicio de Windows, para borrar los ejecutables asociados.
_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
Findviru.exe
f-Prot.exe
Fprot.exe
f-Prot95.exe
Fp-Win.exe
Frw.exe
f-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe
El gusano puede borrar todos los archivos con extensión .LOG en las carpetas raíz de las unidades de disco C y D, además de formatear la unidad D.
De acuerdo al día del mes (días 1, 4, 8, 12, 16, 20, 24 y 28), el gusano
también puede borrar todos los archivos del disco C. Para ello ejecuta las siguientes acciones:
a. Cambia los atributos de sistema (+S), ocultos (+H) y solo lectura (+R) de todos los archivos del disco duro de la unidad C (-S, -H, -R).
b. Borra todo el contenido del disco C.
c. Cuando se activa esta rutina, se muestra una ventana de mensajes con los siguientes textos:
Anacon III
I miss you babe...
W32.Anacon.D@mm
Antes de borrarse todos los archivos, en cada clic en el botón [OK], siete mensajes como los indicados al comienzo son enviados a cada uno de todos los contactos de la libreta de direcciones.
El gusano también abre varias líneas de comandos para ejecutar la orden PING dirigida al puerto 80 de varios sitios, todos relacionados con Israel (ministerios, embajadas de otros países en Israel, hoteles, bibliotecas, etc.), con la idea de realizar ataques de denegación de servicio distribuido (DDoS). Estas son las direcciones IP indicadas en su código:
212.150.63.115
212.143.236.4
62.154.244.36
209.61.182.140
198.65.148.153
208.40.175.222
161.58.232.244
161.58.197.155
194.90.114.5
147.237.72.91
Estas acciones consumen casi todos los recursos del sistema, causando muchas veces el cuelgue de Windows y la aparición de una pantalla azul de la muerte.
Si en la computadora infectada está instalado el servidor Microsoft IIS, el gusano crea un archivo batch llamado ANADF.TXT.BAT, con el cuál sobrescribe los siguientes archivos en la carpeta "\Inetpub\wwwroot\", tanto en la unidad C como en la D:
default.asp
index.htm
default.htm
index.html
default.html
index.asp
El contenido de dichos archivos, es cambiado por el siguiente texto:
WARNING! YOUR WEB SERVER HAS BEEN HACKED BY ANACON MELHACKER. Anacon G0t ya! By Melhacker -dA r34L #4(k3R!
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos o borrados deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\anacon32.exe
c:\windows\system\sysana32.exe
c:\windows\system\syspoly32.exe
c:\windows\Wininit.ini
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares a los descriptos antes.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
ALM
SysAnacon32
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Services
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Under20
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Under20
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\ControlSet001
\Services
\lanmanserver
\Shares
11. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
HACKERz
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\ControlSet002
\Services
\lanmanserver
\Shares
13. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
HACKERz
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\lanmanserver
\Shares
15. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
HACKERz
16. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Mirabilis
\ICQ
\Agent
\Apps
\Administrator
17. Pinche en la carpeta "Administrator" y bórrela.
18. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
19. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
03/jun/03 - Nuevos alias, inclusive Naco.D y Naco.E
03/jun/03 - Se amplía descripción
07/jun/03 - Alias: Win32.Naco.C, Win32/Naco.C.Worm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|