W32/Naco.E@mm, I.worm.naco.e@mm 

Naco.E es un destructivo gusano/troyano/backdoor, variante del Naco.C, reportado el 13 de Junio del 2003, que se propaga a través de mensajes de correo con diversos Asuntos, Contenidos, elegidos en forma aleatoria y el archivo de nombre climbing.jpg.exe.

También se difunde vía las más populares redes Peer to Peer y el ICQ, termina los procesos de los antivirus, firewalls y software de control. Contiene además un Backdoor que reemplaza los archivos con extensión .HTML en el MSII Server.  

Infecta archivos, intenta un ataque de Negación de Servicios a una dirección IP de Israel y actúa como Backdoor de Control Remoto.

Ha sido desarrollado por el hacker indonesio Melhacker, simpatizante del grupo terrorista Al Qaeda e Irak.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic 6.0 con una extensión de 44.5 KB

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book).

Sus formatos de mensaje de correo tienen las siguientes características:

Asunto, uno de los siguientes:

• TIPs: CODE FOR CRACKING EB SERVER
• FoxNews Reporter: What
• Get Your Free XXX Password!
• Gotcha baby!
• Crack for Nokia LogoManager 1.3
• Help me plz?
• TechTV: New Anti Virus Software
• News: US Goverment try to make wars with Tehran.
• Re: are you married?(3)
• Seagate Baracuda 80GB for $???
• Small And Destrucive!
• Alert! New Variant Anacon.F@mm has been detected!
• Free SMS Via NACO SMS!
• Patch for Microsoft Windows XP 64bit
• Your XXX Password: ud78sd8df
• Get Free SMTP Server at Click Here!
• Less And More
• Microsoft Windows LongHorn XP
• You r a chichy boy, you r a chicky girl
• British Air Way Will Backcrupt 

Contenido, uno de los siguientes:

• (vacío)
  You may not see the message because the message has been convert to the attachment. Please open an attachment to see the message.
• Hello dear,
  I'm gonna missed you babe, hope we can see again!
  
  In Love,
  Rekcahlem ~<>~ Anacon
• Hi babe, Still missing me! I have send to you a special gift I made it my own. Just for you. Check it out the attachment. 
  Your Love,
  Rekcahlem
• Great to see you again babe! This is file you want las week. Please don't distribute it to other.
  Regard,
  V.C.
• Attention!
  Please do not eat pork! The SARS virus may come from the pig. So becareful. For more information check the attachment.
  Regard, WTO

Anexado: climbing.jpg.exe

Al ser ejecutado el archivo anexado el gusano muestra la siguiente caja de diálogo:

Al hacer click en "OK" el gusano muestra otra caja de diálogo y se instala en la memoria:

 

Estas dos cajas de diálogo se ejecutan repetidamente hasta que el gusano haya conseguido instalar varias copias de sí mismo en la memoria.

Luego se auto-copia a la carpeta %System% como CSRSS32.EXE y agrega las siguientes llaves de registro para ejecutarse la próxima vez que se inicie el sistema:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Under20" = "%System%\csrss32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALM" = "%System%\csrss32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Services"="%System%\csrss32.exe"

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Administrator]
"Startup" = "%System%"
"Enable" = "Yes"
"Parameters "=""
"Path" ="%System%\csrss32.exe"

También libera un número aleatorio de copias de sí mismo en la carpeta de Inicio de Windows, con 4 dígitos del "0" al "9" y la extensión .EXE

Una vez activado el gusano termina los procesos de antivirus, firewalls y archivos relacionados de:

• Zonealarm.exe
• Wfindv32.exe
• Webscanx.exe
• Vsecomr.exe
• Vscan40.exe
• Vettray.exe
• Vet95.exe
• Tds2-98.exe
• Tca.exe
• Tbscan.exe
• Sweep95.exe
• Sphinx.exe
• Smc.exe
• Serv95.exe
• Scrscan.exe
• Scanpm.exe
• Scan95.exe
• Scan32.exe
• Safeweb.exe
• Regedit.exe
• Rescue.exe
• Rav7win.exe
• Persfw.exe
• Pcfwallicon.exe
• Pccwin98.exe
• Pavw.exe
• Pavsched.exe
• Pavcl.exe
• Padmin.exe
• Outpost.exe
• Nvc95.exe
• Nupgrade.exe
• Normist.exe
• Nmain.exe
• Nisum.exe
• Navwnt.exe
• Navw32.exe
• Navnt.exe
• Navlu32.exe
• Navapw32.exe
• N32scanw.exe
• Mpftray.exe
• Moolive.exe
• Luall.exe
• Lookout.exe
• Jedi.exe
• Iomon98.exe
• Iface.exe
• Icsuppnt.exe
• Icsupp95.exe
• Icmon.exe
• Icloadnt.exe
• Icload95.exe
• Ibmavsp.exe
• Ibmasn.exe
• Iamserv.exe
• Iamapp.exe
• Frw.exe
• Fprot.exe
• Fp-Win.exe
• Findviru.exe
• f-Stopw.exe
• f-Prot95.exe
• f-Prot.exe
• f-Agnt95.exe
• Espwatch.exe
• Esafe.exe
• Ecengine.exe
• Dvp95_0.exe
• Dvp95.exe
• Cleaner3.exe
• Cleaner.exe
• Claw95cf.exe
• Claw95.exe
• Cfinet32.exe
• Cfinet.exe
• Cfiaudit.exe
• Cfiadmin.exe
• Blackice.exe
• Blackd.exe
• Avwupd32.exe
• Avwin95.exe
• Avsched32.exe
• Avpupd.exe
• Avptc32.exe
• Avpm.exe
• Avpdos32.exe
• Avpcc.exe
• Avp32.exe
• Avp.exe
• Avnt.exe
• Avkserv.exe
• Avgctrl.exe
• Ave32.exe
• Autodown.exe
• Apvxdwin.exe
• Anti-Trojan.exe
• Ackwin32.exe
• _Avpm.exe
• _Avpcc.exe
• _Avp32.exe 

Con el propósito de infectar archivos, el gusano inserta una copia de sí mismo en el Inicio de todos los archivos con extensión .EXE de la carpeta %System%. Debido a que que no posee una rutina de verificación de envío masivo de mensajes de correo, repite esta rutina en forma continua.  

Luego ejecuta un ataque de Negación de Servicio (DoS) a la dirección IP 212.143.236.4 correspondiente al Ministerio de Relaciones Exteriores de Israel. 

El gusano crea crea un mutex (Exclusión Mutua), denominado w32wom, pero debido a errores de programación (bugs) no indica su presencia en la memoria, lo cual le permite continuar re-infectando los mismos archivos.

Si el sistema infectado tiene instalado el Microsoft IIS, el gusano creará un archivo con extensión .BAT que ocasionará los siguientes efectos:

Sobre-escribirá una de esta frases:

• Melhacker WhAcKeRs
• Melhacker + Anacon Gotcha!
• New Version Of Anacon Worm!
• You Are Hacked By WhAcKeRs Team!

en los siguientes archivos:

• default.asp
• index.htm
• default.htm
• index.html
• default.html
• index.asp

Luego borrará los archivos de la Raíz de las unidades C: y D: y formateará esta última.

Actuando como Backdoor, espera los comandos del hacker poseedor del software Cliente para realizar las siguientes acciones:

• Lista/Borra/Ejecuta archivo
• Lista/Mata procesos
• Cambia las configuración de la pantalla.
• Envía llaves
• Ejecuta archivos .AVI y/o .WAV
• Reinicia el sistema
• Termina las conexiones RAS
• Muestra mensajes en pantalla.
• Abre y cierra la bandeja de CD
• Habilita/deshabilita el doble click del mouse
• Abre/Cierra el Clipboard
• Se auto-elimina.
• Inicia y almacena un archivo conteniendo las teclas digitadas
• Cambia el Papel Tapiz
• Oculta/Muestra la Barra de Tareas del sistema infectado.
• Alterna los botones del mouse 
• Habilita o deshabilita la llave de sistema Ctrl+Alt+Delete

Los payloads de este gusano son los siguientes:

• Se auto-envía a través de mensajes de correo haciendo uso de la Libreta de Direcciones de Windows.
• Termina los procesos de antivirus, firewalls y software de seguridad, dejando totalmente desprotegidos a los sistemas que infecta.
• Infecta a los usuarios de las más populares redes Peer to Peer.
• Infecta a los usuarios del ICQ.
• Como Backdoor ejecuta diversas acciones nocivas vía control remoto.
• Ejecuta acciones de Negación de Servicios o ataques DOS al Portal del Ministerio de Relaciones Exteriores de Israel.
• Sobre escribe un texto en archivos de diversas extensiones.
• Borra archivos de la Raíz de las unidades C: y D:
• Formatea la unidad D:

PER ANTIVIRUS® versión 8.1 con registro de virus al 13 de Junio del 2003 detecta y elimina  eficientemente este gusano.