NOFEAR.B, gusano destructivo de Correo y redes P2P. Deshabilita antivirus y Firewalls, infecta archivos, etc.  

© Jorge Machado  Lima-Perú

W32/Nofear.B@mm, I.worm.Fearso.b

Nofear.B es un gusano destructivo, reportado el 23 de Junio del 2003, de alta propagación masiva a través de mensajes de correo con un archivo Anexado de nombre aleatorio, extraído de las cadenas de los antivirus de los sistemas a los cuales infecta, el mismo que actúa como un "dropper" que libera 3 componentes. Tiene diversos Asuntos y Contenidos.

También se propaga por las redes Peer to Peer Kazaa y Shareaza

El gusano termina los procesos de antivirus, firewalls y archivos asociados que se encuentren instalados e infecta archivos ejecutables, dejando al sistema vulnerable a los virus y ataques de hackers.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

La muestra fue enviada por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Se auto-envía masivamente a los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) de Eudora Mail y MSN Messenger.    

Los mensajes tienen las siguientes características:

Asunto, elegido de una de las frases:

Contenido, uno de los siguientes:

Anexado: nombre de archivo compuesto aleatoriamente por uno de los procesos de detección y eliminación de los antivirus. Por ejemplo: PAV con doble extensión, siendo la primera elegida entre:

Y la segunda: 

Ejemplo: PAV.jpg.pif  

Al ejecutar el archivo anexado, el gusano muestra una de las siguientes cajas de diálogo:

Al hacer click en "OK", libera y auto-copia al directorio %Windir% los siguientes componentes:

"%Windir%\[Cadena_aleatoria].exe" (copia del gusano, con una extensión de 43 KB) 
"%Windir%\kernel.dll" (componente de 58.5 KB) 
"%Windir%\svchost.exe" (copia del gusano, con una extensión de 43 KB) 

Para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[Cadena_aleatoria]" = "%Windir%\[Cadena_aleatoria].exe" 

El valor [Cadena_aleatoria] es elegido de los procesos de eliminación de los antivirus.

Para almacenar la información extraída, genera las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\[Cadena_aleatoria] "0"]
[HKEY_LOCAL_MACHINE\SOFTWARE\[Cadena_aleatoria] "email_num"]
[HKEY_LOCAL_MACHINE\SOFTWARE\[Cadena_aleatoria] "Sent"]

 %Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Una vez activado, el gusano terminará los procesos de los siguientes antivirus o firewalls que se encuentren instalados en el sistema infectado:

Para infectar a través de las redes Peer to Peer, el gusano crea copias de sí mismo en los directorios:

Las copias son nombres de archivos compuestos aleatoriamente del resultado de 3 componentes:

El valor [nombre_aleatorio] es una de las dos siguientes variables:

Y para este mismo propósito, el gusano genera la siguiente llave de registro, en el caso de Kazaa:

[HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent]
 "Dir2" = "012345:%Windir%\Drivers"

Para Shareaza emplea el directorio por defecto en C:\My Downloads

También busca e infecta los archivos con extensión .EXE a los cuales incrementa su extensión en 43 KB, dejándolos inoperativos.

Finalmente el gusano libera e inserta el archivo KERNEL.DLL dentro del proceso del EXPLORER.EXE para vulnerar los Firewalls personales, abriendo el Puerto TCP 555 (DSF Delivery Sequence File) 

Sus payloads son los siguientes:

PER ANTIVIRUS® versión 8.1 con registro de virus al 23 de Junio del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT) 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS