Subscribe:

Labels

15 de diciembre de 2008

Virus W32/Naco.B



DESDE HACE DOS SEMANAS QUE NO PUEDO UTILIZAR EL BOTON IZQUIERDO DE MI MOUSE, NO LE DI MUCHA IMPORTANCIA PENSE QUE SOLO ERA EL MOUSE, PERO EMPECE A NOTAR QUE OTRAS COSAS DE WINDOWS QUE ANDABAN MAL, POR EJEMPLO NO PODIA VER MIS ARCHIVOS OCULTOS O ACTUALIZAR MI ANTIVIRUS, ASI QUE ME DEDIQUE A BUSCARLO Y LO ENCONTRE LES DEJO LA EXPLICACION DE LO QUE ES Y COMO SOLUCIONARLO, SI TIENEN EL MISMO VIRUS QUE YO COMENTEN, SI NO QUE SUERTUDOS , PERO ALGUN DIA LO TENDRAN , ................




Tipo: Gusano de Internet (P2P)
Alias: W32/Naco.b@MM, W32/Naco.b@mm, I-Worm.Anacon.b, Troj/Naco.B, WORM_CORONA.B, WORM_NACO.B, Worm/Anacon.2, I-Worm/Anacon, Win32.Nocan.B@mm, Win32.HLLM.Anacon, CORONA, W32.Naco.B@mm, Win32/Naco.B, W32/Anacon-B
Fecha: 26/may/03
Tamaño: 137,651 bytes
Plataforma: Windows 32-bit


El gusano, escrito en Microsoft Visual Basic y comprimido con la utilidad UPX, se propaga vía correo electrónico y a través de las redes de intercambio de archivos entre usuarios, como KaZaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire y otras. También puede utilizar para su propagación, los recursos compartidos en redes.

Posee características de caballo de Troya, lo que compromete la seguridad del usuario de la computadora infectada, al poder tomar un intruso el control total sobre ésta.

Una vez en memoria, el gusano es capaz de desactivar y borrar los programas antivirus y cortafuegos que estuvieran activos en memoria, dejando a la máquina indefensa.

El gusano puede llegar en un mensaje como el siguiente:

Asunto: [uno de los siguientes o en blanco]

Alert! W32.Anacon.B@mm Worm Has been detected!
Crack - Download Accerelator Plus 5.3.9
Do you happy?
Do you remember me?
Download WinZip 9.0 Beta
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Great News! Check it out now!
Just for Laught!
Oh, my girl!
Re: are you married?(1)
Run for your life!
The ScreenSaver: Wireless Keyboard
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
Tired to Search Anonymous SMTP Server?
Update: Microsoft Visual Studio .Net
VBCode: Prevent Your Application From Crack
What New in TechTV!
Young and Dangerous 7
Your Password: jad8aadf08

Texto del mensaje:

Hello dear,
I’m gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Datos adjuntos: [alguno de los siguientes]:

against.exe
anacon.exe
bgii.exe
build.exe
force.exe
hangup.exe
hungry.exe
runtime.exe
scan.exe
thing.exe
wars.exe

El gusano no autoejecuta el adjunto. Es un archivo autoextraíble que debe ser abierto por el usuario, y que contiene los siguientes archivos:

Mswinsck.ocx
Anacon.bat
Naco.exe

MSWINSCK.OCX es un archivo normal usado por Windows para establecer una conexión a Internet (Windows Socket Communications).

ANACON.BAT es un simple archivo de comandos de MS-DOS que ejecuta al gusano, el archivo NACO.EXE. Antes copia el archivo MSWINSCK.OCX al directorio de archivos de programa, y registra dicho componente usando el comando:

REGSVR32 /S C:\PROGRA~1\MSWINSCK.OCX

Más tarde borra a dicho archivo, se borra a si mismo y ejecuta como dijimos a NACO.EXE. Inmediatamente comienza a autoenviarse en mensajes como los ya vistos, a todos los contactos de la libreta de direcciones.

También busca la presencia de las siguientes carpetas, pertenecientes a conocidos programas de intercambio de archivos:

C:\Archivos de programa\

BearShare\Shared
BearShare\Shared\
Edonkey2000\Incoming
Edonkey2000\Incoming\
Grokster\My Grokster
Grokster\My Grokster\
KaZaA Lite\My Shared Folder
KaZaA Lite\My Shared Folder\
Kazaa\My Shared Folder
Kazaa\My Shared Folder\
limewire\Shared
limewire\Shared\
Morpheus\My Shared Folder
Morpheus\My Shared Folder\

En aquellas carpetas que encuentre, se copiará con los siguientes nombres:

About SARS Solution.doc.exe
Backdoor Capabilities
Dont eat pork. SARS in there.jpg.exe
Dont eat pork.. SARS in there.jpg.exe
DOOM III Demo.exe
EAGames.exe
EmpireEarthII.msi.exe
gangXcop.exe
Installer.exe
InternationalDictionary.exe
jdbgmgr.exe
Jonny English (JE).avi.exe
JugdeDread.exe
JumpingJumping.exe
Mesmerize.exe
Microsoft Visual Studio.exe
MSVisual C++.exe
Nokia8250Series.exe
Q111023.exe
Q544512.exe
QuickInstaller.exe
Setup.exe
SEX_HOT.exe
SEX_HOTorCOOL.exe
SuperMarioBrother.exe
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
The Matrix Reloaded.jpg.exe
Upgrade you HandPhone.exe
VISE.exe
winamp3.exe
WindowsUpdate.exe
WindowsXP PowerToys.exe
WMovie Maker II.exe
X-Men II Trailer.mpg.exe
YoungAndNotTooDangerous.exe

El gusano posee código para activarse como un troyano de acceso remoto por puerta trasera, capaz de recibir instrucciones de un atacante. Cuando ello sucede, un mensaje es enviado a la siguiente información:

chatza@phreaker.net

Enviando la siguiente información:

* Nombre del ejecutable del troyano
* Sistema operativo
* Versión del Internet Explorer
* Nombre de los directorios de Windows y System
* Resolución de la pantalla
* Hora y fecha actual
* Dirección IP de la máquina infectada
* Puerto por el que se conecta
* Nombre de usuario y de la computadora
* Contraseñas en el caché (solo Windows 95, 98 y Me)
* Nombre del host
* Unidades de disco, nombres y tipos
* Nombre de la computadora
* Número UIN de ICQ
* Tarjeta de sonido

El atacante puede llevar a cabo las siguientes acciones:

* Abrir o cerrar el portapapeles
* Abrir o cerrar la bandeja del CD
* Autoactualizar su propio código
* Cambiar el papel tapiz
* Cambiar la configuración de la pantalla
* Capturar lo tecleado por la víctima
* Ejecutar archivos de video AVI o de sonido WAV
* Enviar códigos de teclas pulsadas a la víctima
* Habilitar o deshabilitar el doble clic del mouse
* Habilitar o deshabilitar las teclas CTRL+ALT+SUPR
* Intercambiar los botones del ratón
* Listar y matar procesos
* Listar, borrar y ejecutar archivos
* Mostrar mensajes
* Mostrar o esconder la barra de tareas
* Quitar al propio troyano
* Reiniciar la computadora
* Terminar conexiones de Internet, etc.

El enlace para actualizarse apunta a este sitio:

http://vx.netlux.org/~melhacker/anaconII.exe

Cuando se ejecuta, el gusano se copia con los siguientes nombres:

c:\windows\system\Syspoly32.exe
c:\windows\system\Wars.exe

Algunos fabricantes de antivirus, indican que el archivo WARS.EXE no se llega a copiar en el sistema.

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego crea las siguientes entradas, para ejecutarse en el inicio de Windows y para compartir la unidad C con otras unidades como un recurso:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AHU = c:\windows\system\Syspoly32.exe
Nocana = c:\windows\system\Wars.exe
SysAnacon32 = c:\windows\system\Sysana32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
InterceptedSystem = c:\windows\system\Syspoly32.exe

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
PowerManagement = c:\windows\system\Syspoly32.exe

HKLM\System\ControlSet001\Services\lanmanserver\Shares
HACKERz = [un valor en hexadecimal]

HKLM\System\ControlSet002\Services\lanmanserver\Shares
HACKERz = [un valor en hexadecimal]

HKLM\System\CurrentControlSet\Services\lanmanserver\Shares
HACKERz = [un valor en hexadecimal]

Para utilizar el cliente ICQ, el gusano también crea la siguiente entrada en el registro:

HKCU\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip
Startup = c:\windows\system\
Enable = Yes
Parameters = ""
Path = c:\windows\system\Syspoly32.exe

Luego busca la presencia de los siguientes procesos en memoria. Si los encuentra los desactiva y luego crea las modificaciones necesarias en el archivo WINNINIT.BAT que se ejecuta luego de un reinicio de Windows, para borra los ejecutables asociados.

_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
Findviru.exe
f-Prot.exe
Fprot.exe
f-Prot95.exe
Fp-Win.exe
Frw.exe
f-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

De acuerdo al día del mes (días 1, 4, 8, 12, 16, 20, 24 y 28), el gusano puede borrar todos los archivos del disco C. Para ello ejecuta las siguientes acciones:

a. Cambia los atributos de sistema (+S), ocultos (+H) y solo lectura (+R) de todos los archivos del disco duro de la unidad C (-S, -H, -R).

b. Borra todo el contenido del disco C.

c. Cuando se activa esta rutina, se muestra una ventana con el siguiente mensaje:

Anacon W0rm
The only I have to say is, I need you babe!
[ OK ]

Antes de borrarse todos los archivos, en cada clic en el botón [OK], siete mensajes como los indicados al comienzo son enviados a cada uno de todos los contactos de la libreta de direcciones.

El gusano también abre varias líneas de comandos para ejecutar la orden PING dirigida al puerto 80 de varios sitios, todos relacionados con Israel (ministerios, embajadas de otros países en Israel, hoteles, bibliotecas, etc.), con la idea de realizar ataques de denegación de servicio distribuido (DDoS). Estas acciones consumen casi todos los recursos del sistema, causando muchas veces el cuelgue de Windows y la aparición de una pantalla azul de la muerte.

Si en la computadora infectada está instalado el servidor Microsoft IIS, el gusano crea un archivo batch llamado ANADEFACE.BAT, con el cuál renombra los siguientes archivos en la carpeta "\Inetpub\wwwroot\", tanto en la unidad C como en la D:

default.asp [renombrada como ANA_Default.asp]
index.htm [renombrada como ANA_Index.htm]
default.htm [renombrada como ANA_Default.htm]
index.html [renombrada como ANA_Index.html]
default.html [renombrada como ANA_Default.html]
index.asp [renombrada como ANA_Index.asp]

Luego copia los archivos con su nombre original, pero conteniendo el siguiente texto:

I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain, Foot-Art and AQTE Anacon G0t ya! By Melhacker - dA r34L #4(k3R!


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos o borrados deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\Syspoly32.exe
c:\windows\system\Wars.exe
c:\windows\Wininit.ini

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

AHU
Nocana
SysAnacon32

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

InterceptedSystem

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

PowerManagement

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\ControlSet001
\Services
\lanmanserver
\Shares

9. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

HACKERz

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\ControlSet002
\Services
\lanmanserver
\Shares

11. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

HACKERz

12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\lanmanserver
\Shares

13. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

HACKERz

14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Mirabilis
\ICQ
\Agent
\Apps
\Gvjlkfbip

15. Pinche en la carpeta "Gvjlkfbip" y bórrela.

16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

http://www.mundopc.net/windows/articulos/winme/inswinme/me9.php

http://www.mundopc.net/windows/articulos/winxp/restaurarsis/index.php

0 comentarios: