Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Naco.D. Deshabilita antivirus y borra archivos
 
VSantivirus No. 1070 Año 7, Jueves 12 de junio de 2003

W32/Naco.D. Deshabilita antivirus y borra archivos
http://www.vsantivirus.com/naco-d.htm

Nombre: W32/Naco.D (Naco.E, Naco.F)
Tipo: Gusano de Internet
Alias: W32.Naco.D@mm, Win32/Naco.F, W32.Naco.A@mm, W32.Naco.B@mm, W32.Naco.C@mm, W32/Anacon-D, Naco.F, I-Worm.Nocana.F, W32/Naco.F@mm, W32.Naco.D@mm, Anacon, Nocana, Naco
Fecha: 12/jun/03
Tamaño: 45,568 bytes
Plataforma: Windows 32-bit

El gusano, escrito en Microsoft Visual Basic y comprimido con la utilidad TELOCK, se propaga vía correo electrónico y a través de recursos compartidos en redes.

Posee características de caballo de Troya, lo que compromete la seguridad del usuario de la computadora infectada, al poder tomar un intruso el control total sobre ésta.

Una vez en memoria, el gusano es capaz de desactivar y borrar los programas antivirus y cortafuegos que estuvieran activos en memoria, dejando a la máquina indefensa.

Esta versión presenta más errores que la anterior, y un sistema infectado puede quedar inoperante. Sin embargo, también puede infectar archivos ejecutables (.EXE) de la carpeta System de Windows, agregándose al comienzo de los mismos.

El gusano puede llegar en un mensaje como el siguiente:

Asunto: [uno de los siguientes o en blanco]

Alert! New Variant Anacon.F@mm has been detected!
Alert! New Variant W32/Naco.F@mm has been detected!
British Air Way Will Backcrupt
British Air Will Backcrupt
Crack for Nokia LogoManager 1.3
FoxNews Reporter: What
Free SMS Via NACO SMS!
Get Free SMTP Server at Click Here!
Get Your Free XXX Password!
Gotcha baby!
Help me plz!
Help me plz?
Less And More
Microsoft Windows LongHorn XP
News: US Goverment try to make wars with Tehran.
News: US Govermenvt try to make wars with Teheran.
Patch for Microsoft Windows XP 64bit
Re: are you married?(3)
Seagate Baracuda 80GB for $???
Small And Destrucive!
Small And Destructive!
TechTV: New Anti Virus Software
TIPs: CODE FOR CRACKING EB SERVER
You r a chichy boy, you r a chicky girl
Your XXX Password: ud78sd8df

Texto del mensaje, alguno de los siguientes:

Ejemplo 1:

Hello dear,

I'm gonna missed you babe,
hope we can see again!

In Love,
Rekcahlem ~<>~ Anacon

Ejemplo 2:

Hi babe, Still missing me!
I have send to you a special gift
I made it my own. Just for you.
Check it out the attachment.

Your Love,
Rekcahlem

Ejemplo 3:

Great to see you again babe!
This is file you want las week.
Please don't distribute it to
other.

Regard,
V.C.

Ejemplo 4:

Attention!
Please do not eat pork!
The SARS virus may come from the pig.
So becareful. For more
information check the attachment.
Regard, WTO

Ejemplo 5:

(blank)

You may not see the message because
the message has been convert to the
attachment. Please open an attachment
to see the message.

Datos adjuntos, alguno de los siguientes:

csrss32.exe
climbing.jpg.exe

El adjunto puede ser también un nombre con cuatro dígitos al azar y la extensión .EXE:

5673.exe
3963.exe

Cuando se ejecuta, el gusano muestra una ventana de mensajes con el siguiente texto:

Anacon 6 Worm
.:Anacon 6 Worm :.
THanX fOr SupPoRted:
Dincracker, Foot-art, PakBrain, Fady911x, Anacon,
Axam, sh4m, AjeedNASA, Invisibleman, Zied666 and
all my frenz...
[   OK   ]

Cuando el usuario pulsa en [OK], el gusano muestra otra ventana mientras se instala él en memoria:

Anacon 6
You are the most pretty girl I saw!
W32.Anacon.F@mm
[   OK   ]

Los mensajes pueden reiterarse.

Luego, comienza a autoenviarse en mensajes como los ya vistos, a todos los contactos de la libreta de direcciones.

Esta versión infecta archivos, agregando una copia de su código en el comienzo de todos los archivos .EXE encontrados en la carpeta System de Windows ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

No posee ninguna rutina para verificar si ya ha infectado un archivo, de modo que puede volver a infectar archivos ya infectados, incluso infectarse a si mismo.

El gusano posee código para activarse como un troyano, efectuando ataques de denegación de servicio (DoS) a la dirección IP 212.143.236.4.

Cuando se ejecuta por primera vez, el gusano se copia con el siguiente nombre:

c:\windows\system\csrss32.exe

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También se copia a si mismo más de 250 veces en alguna de las siguientes carpetas (carpetas de inicio de Windows), con un nombre cualquiera consistente en dos, tres o cuatro dígitos al azar:

Windows 95, 98 y Me:

C:\WINDOWS\Menú Inicio\Programas\Inicio

C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio

Windows XP y 2000:

C:\Documents and Settings
\[usuario]\Menú Inicio\Programas\Inicio

C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio

Windows NT:

C:\WinNT\Profiles
\[usuario]\Menú Inicio\Programas\Inicio

C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio

Luego crea las siguientes entradas, para ejecutarse en el inicio de Windows y para compartir la unidad C con otras unidades como un recurso:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ALM = c:\windows\system\csrss32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Services = c:\windows\system\csrss32.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Under20 = c:\windows\system\csrss32.exe

Luego busca la presencia de los siguientes procesos en memoria. Si los encuentra los desactiva y luego crea las modificaciones necesarias en el archivo WINNINIT.BAT que se ejecuta luego de un reinicio de Windows, para borrar los ejecutables asociados.

_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
Findviru.exe
f-Prot.exe
Fprot.exe
f-Prot95.exe
Fp-Win.exe
Frw.exe
f-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7win.exe
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

El gusano puede borrar archivos en las carpetas raíz de las unidades de disco C y D, además de formatear la unidad D.

Si en la computadora infectada está instalado el servidor Microsoft IIS, el gusano crea un archivo de proceso por lotes (.BAT), con el cuál sobrescribe los siguientes archivos en la carpeta "\Inetpub\wwwroot\", tanto en la unidad C como en la D:

default.asp
index.htm
default.htm
index.html
default.html
index.asp

El contenido de dichos archivos, es cambiado por alguno de los siguientes textos:

Melhacker WhAcKeRs

Melhacker + Anacon Gotcha!
New Version Of Anacon Worm!
You Are Hacked By WhAcKeRs Team!


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Repare o borre los archivos detectados como infectados

Nota: Los archivos sobrescritos o borrados deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\csrss32.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

ALM

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Services

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Under20

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS