W32/Naco.C@mm, I.worm.Naco.C@mm, W32/Naco.D@mm 

Naco.C es un destructivo gusano/troyano/backdoor reportado el 03 de Junio del 2003, variante del Naco, y que se propaga vía mensajes de correo con diversos Asuntos, Contenidos y el archivo anexado de nombre anacon32.exe.

También se difunde a través de las populares redes Peer to Peer Kazaa, BearShare, edonkey2000, Morpheus, Grokster y LimeWire, termina los procesos de los antivirus, firewalls y software de control. Contiene además un Backdoor que reemplaza los archivos con extensión .HTML en el MSII Server. 

Este virus ha sido desarrollado por el famoso hacker musulmán, de origen indonesio Melhacker, quien se declara abiertamente simpatizante del grupo terrorista Al Qaeda e Irak

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic con una extensión de 32 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables). 

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book).

Sus formatos de mensaje de correo tienen las siguientes características:

Asunto, uno de los siguientes:

• Out of my heart?
• Nelly Furtado!
• New! Dragon Ball Fx
• TIPs: HOW TO DEFACE A WEBSERVER?
• What New in The ScreenSaver!
• FoxNews Reporter: There are no Solution for SARS?
• Get Your Free XXX Password!
• Gotcha baby!
• Crack for Nokia LogoManager 1.3
• Help me plz?
• TechTV: New Anti Virus Software
• News: US Goverment try to make wars with Tehran.
• Re: are you married?(3)
• Seagate Baracuda 80GB for $???
• Small And Destrucive!
• Alert! New Variant Anacon.D has been detected!
• Free SMS Via NACO SMS!
• Patch for Microsoft Windows XP 64bit
• Your FTP Password: iuahdf7d8hf
• Get Free SMTP Server at Click Here!

Contenido, uno de los siguientes:

• Hello dear,
  I'm gonna missed you babe, hope we can see again!
  In Love,
  Rekcahlem ~<>~ Anacon
• Hi babe, Still missing me! I have send to you a special gift I made it my own. Just for you. Check it out the attachment.
• Your Love,
  Rekcahlem
• Great to see you again babe! This is file you want las week. Please don't distribute it to other.
  Regard,
  V.C.
• Attention!
  Please do not eat pork! The SARS virus may come from the pig. So becareful. For more information check the attachment.
  Regard, WTO
• (vacío)

Al ser ejecutado el archivo anexado se auto-copia a la carpeta %System% como anacon32.exe y agrega las siguientes llaves de registro para ejecutarse la próxima vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALM" = "%System%\anacon32.exe"
"SysAnacon32" = "%System%\SysAna32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Services"="%System%\anacon32.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Under20" = "%System%\anacon32.exe"

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Administrator]
"Startup" = "%System%"
"Enable" = "Yes"
"Parameters "=""
"Path" ="%System%\syspoly32.exe"

Una vez activado el gusano intenta terminar con los siguientes procesos de antivirus, firewalls y software de control:

• Zonealarm.exe
• Wfindv32.exe
• Webscanx.exe
• Vsstat.exe
• Vshwin32.exe
• Vsecomr.exe
• Vscan40.exe
• Vettray.exe
• Vet95.exe
• Tds2-Nt.exe
• Tds2-98.exe
• Tca.exe
• Tbscan.exe
• Sweep95.exe
• Sphinx.exe
• Smc.exe
• Serv95.exe
• Scrscan.exe
• Scanpm.exe
• Scan95.exe
• Scan32.exe
• Safeweb.exe
• Regedit.exe
• Rescue.exe
• Rav7win.exe
• Rav7.exe
• Persfw.exe
• Pcfwallicon.exe
• Pccwin98.exe
• Pavw.exe
• Pavsched.exe
• Pavcl.exe
• Padmin.exe
• Outpost.exe
• Nvc95.exe
• Nupgrade.exe
• Normist.exe
• Nmain.exe
• Nisum.exe
• Navwnt.exe
• Navw32.exe
• Navnt.exe
• Navlu32.exe
• Navapw32.exe
• N32scanw.exe
• Mpftray.exe
• Moolive.exe
• Luall.exe
• Lookout.exe
• Lockdown2000.exe
• Jedi.exe
• Iomon98.exe
• Iface.exe
• Icsuppnt.exe
• Icsupp95.exe
• Icmon.exe
• Icloadnt.exe
• Icload95.exe
• Ibmavsp.exe
• Ibmasn.exe
• Iamserv.exe
• Iamapp.exe
• Frw.exe
• Fprot.exe
• Fp-Win.exe
• Findviru.exe
• f-Stopw.exe
• f-Prot95.exe
• f-Prot.exe
• f-Agnt95.exe
• Espwatch.exe
• Esafe.exe
• Ecengine.exe
• Dvp95_0.exe
• Dvp95.exe
• Cleaner3.exe
• Cleaner.exe
• Claw95cf.exe
• Claw95.exe
• Cfinet32.exe
• Cfinet.exe
• Cfiaudit.exe
• Cfiadmin.exe
• Blackice.exe
• Blackd.exe
• Avwupd32.exe
• Avwin95.exe
• Avsched32.exe
• Avpupd.exe
• Avptc32.exe
• Avpm.exe
• Avpdos32.exe
• Avpcc.exe
• Avp32.exe
• Avp.exe
• Avnt.exe
• Avkserv.exe
• Avgctrl.exe
• Ave32.exe
• Avconsol.exe
• Autodown.exe
• Apvxdwin.exe
• Anti-Trojan.exe
• Ackwin32.exe
• _Avpm.exe
• _Avpcc.exe
• _Avp32.exe

Asimismo, detiene el Servicio Auto-Protect de Norton AntiVirus y remueve el Trojan Defense Suite. Luego borra todos los archivos de la carpeta C:\SAFEWEB.

Si el sistema infectado tiene instalado el Microsoft IIS, el gusano creará un archivo anadf.txt.bat, que ocasionará los siguientes efectos:

Sobre-escribirá este contenido:

WARNING! YOUR WEB SERVER HAS BEEN HACKED BY ANACON MELHACKER.
Anacon G0t ya! By Melhacker -dA r34L #4(k3R!

en los siguientes archivos:

• default.asp
• index.htm
• default.htm
• index.html
• default.html
• index.asp

Luego borrará los archivos con extensión .log de las unidades C: y D:

Intentará descargar un archivos de un sitio web, actualmente clausurado.

Actuando como Backdoor, espera los comandos del hacker poseedor del software Cliente para realizar las siguientes acciones:

• Lista/Borra/Ejecuta archivo
• Lista/Mata procesos
• Cambia las configuración de la pantalla.
• Envía llaves
• Ejecuta archivos .AVI y/o .WAV
• Reinicia el sistema
• Termina las conexiones RAS
• Muestra mensajes en pantalla.
• Abre y cierra la bandeja de CD
• Habilita/deshabilita el doble click del mouse
• Abre/Cierra el Clipboard
• Se auto-elimina.
• Inicia y almacena un archivo conteniendo las teclas digitadas
• Cambia el Papel Tapiz
• Oculta/Muestra la Barra de Tareas del sistema infectado.
• Alterna los botones del mouse 
• Habilita o deshabilita la llave de sistema Ctrl+Alt+Delete

También este gusano puede realizar estas acciones:

Libera y ejecuta el archivo ANa.REG para crear las siguientes llaves de registro: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
lanmanserver\Shares\Security
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
lanmanserver\Shares\Security
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
lanmanserver\Shares\Security

Agrega los siguiente valores binarios:

"HACKERz" = "43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,
00,00,4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,
00,39,00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,
43,00,3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,
00,6e,00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,
00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00"

a las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
lanmanserver\Shares
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
lanmanserver\Shares
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
lanmanserver\Shares

Luego ejecuta una ataque de Negación de Servicio (DoS) a los siguientes IP:

• 212.150.63.115
• 212.143.236.4
• 62.154.244.36
• 209.61.182.140
• 198.65.148.153
• 208.40.175.222
• 161.58.232.244
• 161.58.197.155
• 194.90.114.5
• 147.237.72.91

Para infectar a través de las redes Peer to Peer rastrea las siguientes carpetas:

• %Archivos de programa%\KMD\My Shared Folder
• %Archivos de programa%\Kazaa\My Shared Folder
• %Archivos de programa%\KaZaA Lite\My Shared Folder
• %Archivos de programa%\Morpheus\My Shared Folder
• %Archivos de programa%\Grokster\My Grokster
• %Archivos de programa%\BearShare\Shared
• %Archivos de programa%\Edonkey2000\Incoming
• %Archivos de programa%\limewire\Shared

En caso de encontrar algunas de esas rutas el gusano se autocopiará como:

• The Lost Jungle.mpg.exe
• The Matrix Reloaded Trailer.jpg.exe
• Replacement Killer 2.avi.exe
• Trailer DOOM III.exe
• WinZip9Beta.exe
• WhatIsGoingOn.exe
• NokiaPolyPhonic.exe
• TNT.exe
• Dont Eat Pork SARS in there.exe
• About SARS Solution.doc.exe
• TIPS HOW TO CRACK SYMANTEC SERVER.txt.exe
• VISE MINDVISION.exe
• Uninstal.exe
• WindowsSecurity Patch.exe
• Hide Your Mount.exe
• Patch - jdbgmgr.exe
• NEW POWERTOY FOR WINXP.exe
• Generate a Random PAssword.exe
• OfficeXP.exe
• Ripley Believe It Or Not.exe
• Anacon The Great.exe
• New Variant.exe
• SMTP OCX.exe
• DialUp.pif
• Lost YourPassword.txt.exe
• Hack In 5 Minute.exe
• Get Lost.exe
• Oh Yeah Babe.exe
• Sucker.exe
• MSWINSCK.OCX.EXE
• Downloader.exe
• HeavyMetal.mp3.exe
• JackAndGinnie.exe
• RosalindaAyamor
• fxanacon.com
• GetMorePower.exe
• Hacker HandBook.exe
• Dincracker eZine.exe
• La Intrusa.exe
• Porta.exe

Para concluir sus efectos destructivos, el gusano borra todos los archivos en el directorio Raíz y formatea la unidad D:

Los payloads de este gusano son los siguientes:

• Se auto-envía a través de mensajes de correo haciendo uso de la Libreta de Direcciones de Windows.
• Termina los procesos de antivirus, firewalls y software de seguridad, dejando totalmente desprotegidos a los sistemas que infecta.
• Infecta a los usuarios de las más populares redes Peer to Peer.
• Como Backdoor ejecuta diversas acciones nocivas vía control remoto.
• Borra los archivos .log de las unidades C: y D:
• Ejecuta acciones de Negación de Servicios o ataques DOS a diversas direcciones IP.
• Agrega valores binarios a varios registros de Servicios.
• Sobre escribe un texto en archivos de diversas extensiones.
• Borra todos los archivos del directorio Raíz y de la unidad D:

PER ANTIVIRUS® versión 8.1 con registro de virus al 03 de Mayo del 2003 detecta y elimina  eficientemente este gusano/troyano/backdoor.