Naco

NACO, gusano/troyano/backdoor infecta vía Correo y Peer to Peer, deshabilita antivirus, firewalls, etc.

W32/Naco@mm, Troj/Naco

Naco es un destructivo gusano/troyano/backdoor reportado el 20 de Mayo del 2003, que se propaga vía mensajes de correo con diversos Asuntos, un mismo Contenido y el archivo anexado de nombre anakon.jpg.

También se difunde a través de las populares redes Peer to Peer Kazaa, BearShare, eDonkey, Morpheus, Grokster y LimeWire y actúa como troyano/backdoor de control remoto.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic con una extensión de 28.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Su autor es el hacker de origen malasio, conocido como Melhacker y la muestra fue enviada por un miembro del portal de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, con las siguientes características:

Asunto, uno de los siguientes:
Do you happy?
Riyadh Issue: Al-Qaeda vs FBI
Osama Bin Laden Come Back!
Al-Qaeda News: Bombing Mission Success!
Check This Out!
Re: can mali can!
Al-Qaeda Team Entertainment News
[AQTE News]
Al-Jazeera: AQTE Come back!
Hi, may I read your mind?
Acheh Issue: What Solution!
Saddam Hussein Still alive
Iraqi people don't want US Control.
Let's Iraqi people build their country.
Download New 256-Bit Encryption Software
Alert! W32.HLLW.Anacon@mm Worm Has been detected!
Register you Windows Now!
Get free update Microsoft Windows Media Player
TIPS: How to hide your IP Address!
How to Protect you PC from Hackers!

Contenido:
Hi dear, Once I was first saw you, I was fall in love! Even you are already has special friend!

Fall In Love,
Rekcahlem ~=~ Anacon

Anexado: anakon.jpg

Al ejecutar el archivo infectado, el gusano se autocopia a la carpeta %System% como anacon.exe y para activarse la próxima vez que se inicie el sistema genera las siguientes llaves de registro, en forma aleatoria:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AHU" = "%System%\anacon.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Hvewsveqmg" = "%System%\anacon.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Cvfjx" = "%System%\anacon.exe"

Asimismo agrega las siguientes llaves con el propósito de compartir los recursos de la unidad C:, además de usarlas como marcadores o "switches" de ejecución:

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanserver\Shares]
"HACKERz" = ""

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lanmanserver\Shares]
"HACKERz" = ""

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\Shares]
"HACKERz" = ""

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio del sistema, el gusano terminará los procesos de la siguiente lista de antivirus, firewalls, software de control, seguridad y sus archivos asociados:

_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
f-Prot.exe
f-Prot95.exe
f-Stopw.exe
Findviru.exe
Fp-Win.exe
Fprot.exe
Frw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

Para infectar a través de las redes Peer to Peer, el gusano se copia a las siguientes rutas, en caso éstas existan en el sistema infectado:

%Archivos de programa%\KMD\My Shared Folder\ (KMD = Kazaa Media Desktop)
%Archivos de programa%\Kazaa\My Shared Folder\
%Archivos de programa%\KaZaA Lite\My Shared Folder\
%Archivos de programa%\Morpheus\My Shared Folder\
%Archivos de programa%\Grokster\My Grokster\
%Archivos de programa%\BearShare\Shared\
%Archivos de programa%\Edonkey2000\Incoming\
%Archivos de programa%\limewire\Shared\

Con los siguientes nombres de archivos:

X-Men II Trailer.mpg.exe
The Matrix Reloaded.jpg.exe
Jonny English (JE).avi.exe
EmpireEarthII.msi.exe
Setup.exe
JumpingJumping.exe
SuperMarioBrother.exe
YoungAndNotTooDangerous.exe
Nokia8250Series.exe
About SARS Solution.doc.exe
Dont eat pork.. SARS in there.jpg.exe
Mesmerize.exe
MSVisual C++.exe
Installer.exe
Q544512.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
WMovie Maker II.exe
WindowsUpdate.exe
SEX_HOT.exe

Actuando como troyano/backdoor, se conecta con el hacker que emplea puertos aleatorios, presumiblemente con el freeware rastreador NMapWin, permitiéndole tomar control de los sistemas infectados en forma remota.

Dentro del cuerpo del gusano se puede leer estas cadenas de texto:

I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!,
Anacon, Melhacker, Dincracker, PakBrain and AQTE

Anacon G0t ya! By Melhacker - The Real Hacker!

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se auto-envía masivamente a través de mensajes de correo haciendo uso de MS Outlook.
Termina los procesos de antivirus, firewalls y software de control y seguridad.
Infecta a los usuarios de las más populares redes Peer to Peer.
Se propaga e infecta archivos de unidades de disco de redes con recursos compartidos.
Como Troyano/Backdoor ingresa a través de puerto aleatorios, captura información del sistema y la envía al hacker a través de los mismos.
Obtiene el control de Acceso Remoto de los sistemas infectados.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versiones 8.0 y 8.1, con registro de virus al 20 de Mayo del 2003 detectan y eliminan eficientemente este gusano/troyano/backdoor.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)