AntiNOD.B

ANTINOD.B troyano de redes Peer to Peer y otros servicios de Internet termina procesos de antivirus NOD32.

Troj/AntiNOD.B

AntiNOD.B es un troyano reportado el 20 de Abril del 2007, desarrollado por Byt3Cr0W, un joven venezolano, autor de diversos virus, ex-miembro del grupo de codificadores denominado GEDZAC Labs:

http://www.gedzac.com/

Por circunstancias de nuestro trabajo hace varios años fuimos atacados por algunos de sus miembros, aunque jamás lograron su objetivo y tomando "al toro por las astas" establecí contacto por correo electrónico con casi todos ellos, inicialmente fríos y con sentimientos encontrados.

El grupo codificaba y propagaba virus y nosotros producíamos el antivirus y por naturaleza pertenecíamos a bandos contrarios. La curiosidad me llevó a viajar a Mexico para conocerlos y en el Perú denuncié ante la PNP a uno de sus colaboradores, auto-denominado Super Emarts, logrando en primera instancia que el FBI cerrara su portal y actualmente está siendo procesado por el Poder Judicial.

Poco a poco conocí el lado humano de Kuasanagui, su fundador y Falckon, ambos mexicanos, erGrone (chileno), Sarosoft (Italia) y el peruano MachineDramon de Perú, el cual siempre fue el más parco y belicoso. Jamás hablé personalmente con él, pese a vivir en el mismo país, pero sí se ocupó de enviarnos varios virus a nuestro buzón de correo, obviamente con resultados fallidos.

Han transcurrido varios años y algunos de sus miembros maduraron y se retiraron del grupo, ingresaron nuevos, pero definitivamente, sin pretender hacer apología de los autores de virus, opino que son jóvenes talentosos que algún día sacarán provecho positivo de sus conocimientos alcanzados.

Retornado al troyano, éste se propaga a través de servicios de Internet, tales como las redes Peer to Peer y hasta por correo electrónico.

Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 260KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Este troyano tiene como objetivo terminar procesos del antivirus NOD32.

Al ser activado se copia a las siguientes rutas, con los nombres:

C:\Program Files\Kazaa\My Shared Folder\Nod32_3_Setup.exe
C:\Program Files\eMule\incoming\Nod32_3_Setup.exe
C:\Program Files\grokster\my grokster\Nod32_3_Setup.exe
C:\Program Files\bearshare\shared\Nod32_3_Setup.exe
C:\program files\ICQ\Shared Folder\Nod32_3_Setup.exe
C:\Program Files\winmx\shared\32_3_Setup.exe
C:\Program Files\morpheus\my shared folder\Nod32_3_Setup.exe
C:\Program Files\limewire\shared\Nod32_3_Setup.exe
C:\Program Files\XoloX\Downloads\Nod32_3_Setup.exe
C:\Program Files\Tesla\Files\Nod32_3_Setup.exe
C:\Program Files\Nod_IMON.exe
C:\Regards to Richard Marko, I wish that Advanced Heuristic of NOD will NOT detect this worm.f

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

para activarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NodIMON" = "C:\Program Files\Nod_IMON.exe"

Al siguiente inicio del equipo el troyano termina los siguientes procesos:

C:\Program Files\ESET\nod32.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\ESET\nod32krn.exe

Finalmente muestra el siguiente mensaje:

BUAHAHAHAHA!!! [-Byt3Cr0W is here!!!-]---WAIT FOR F..

PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 20 de Abril del 2007 detectan y eliminan este troyano.