W32/Narcs, W32/Scran, I-worm.narcs

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables). 

Al ser ejecutado crea un Mutex denominado "W32.Scran-Worm" para evitar ser activado más de una vez en el sistema ya infectado, y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"W32.Scran" = "%Archivos de programa%\sys32i\Scran.exe" 

Al siguiente re-inicio, el gusano se conecta a un dominio de segundo nivel ubicado en www.freeweb.com, desde el cual descarga al directorio raíz el archivo botnet.exe, el cual contiene el gusano Spybot, y lo auto-ejecuta en memoria. 

Este gusano libera un Backdoor que recibe comandos, descarga archivos con códigos malignos y los ejecuta. Además controla los sistemas en forma remota.

Para infectar vía el servicio de mensajería instantánea ICQ sobre-escribe el archivo Scritp.ini en la ruta:

%Archivos de programa%\mIRC\Script.ini, logrando infectar a todos los usuarios que se conecten a un mismo canal en una sesión de Chat con el sistema infectado, logrando un efecto multiplicador.

Para propagarse vía las redes P2P Imesh y Kazaa, de estar instaladas, crea las llaves de registro:

• HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
  Dir0=012345:%Archivos de programa%\sys32i
• HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
  Dir0=012345:%Archivos de programa%\sys32i
• HKEY_CURRENT_USER\Software\Kazaa\Transfer\
  DlDir0=%Archivos de programa%\sys32i

de este modo la ruta %Archivos de programa%\sys32i será configurada por defecto como la carpeta para la  transferencia de archivos para estas redes P2P. Luego el gusano se autocopia a esa ruta con los nombres:

• %Archivos de programa%\sys32i\Age of Empires crack.exe
• %Archivos de programa%\sys32i\Age of Empires.exe
• %Archivos de programa%\sys32i\CD Key.exe
• %Archivos de programa%\sys32i\Counter Strike 6.exe
• %Archivos de programa%\sys32i\Counter Strike.exe
• %Archivos de programa%\sys32i\Grand Theft Auto 3 CD2 ISO.exe
• %Archivos de programa%\sys32i\Half-Life.exe
• %Archivos de programa%\sys32i\Hotmail Hack.exe
• %Archivos de programa%\sys32i\Hotmail account cracker.exe
• %Archivos de programa%\sys32i\KeyGen.exe
• %Archivos de programa%\sys32i\Microsoft Office.exe
• %Archivos de programa%\sys32i\Norton Anti Virus 2004.exe
• %Archivos de programa%\sys32i\Norton Anti Virus 2005.exe
• %Archivos de programa%\sys32i\Norton Anti Virus Crack.exe
• %Archivos de programa%\sys32i\Norton Firewall.exe
• %Archivos de programa%\sys32i\Norton Internet Security 2004.exe
• %Archivos de programa%\sys32i\Partition Magic 8.exe
• %Archivos de programa%\sys32i\Playstation 2.exe
• %Archivos de programa%\sys32i\Resident Evil.exe
• %Archivos de programa%\sys32i\Scran.cpl
• %Archivos de programa%\sys32i\Scran.exe
• %Archivos de programa%\sys32i\Tomb Raider.exe
• %Archivos de programa%\sys32i\Trojan Remover.exe
• %Archivos de programa%\sys32i\Windows XP Home.exe
• %Archivos de programa%\sys32i\Yahoo Hack.exe
• %Archivos de programa%\sys32i\ZoneAlarm Firewall Pro.exe

El 1o de Enero el gusano mostrará la siguiente caja de diálogo:

Sus payloads son los siguientes:

• Se propaga masivamente a través del IRC y las redes Peer to Peer Imesh y KaZaa.
• Se conecta a un dominio de segundo nivel ubicado en www.freeweb.com, desde donde descarga al directorio raíz el archivo botnet.exe, el cual contiene el gusano Spybot. 
• Spybot libera un Backdoor que recibe comandos, descarga archivos con códigos malignos y los ejecuta.
• Además controla los sistemas en forma remota.

PER ANTIVIRUS® versión 8.9 con registro de virus al 18 de Octubre del 2004 detecta y elimina eficientemente este gusano.