Nofear.C

NOFEAR.C, gusano destructivo de Correo y redes P2P. Deshabilita antivirus y Firewalls, infecta archivos, etc.

W32/Nofear.C@mm, W32/Nofer.C@mm, I.worm.Fearso.c

Nofear.C es un gusano destructivo, variante de Nofear.B, reportado el 24 de Junio del 2003, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria. Estos últimos actúan como un "dropper" ya que libera 3 componentes, asimismo infectan archivos ejecutables en todas las unidades del disco.

También se propaga por las redes Peer to Peer Kazaa y Shareaza.

El gusano termina los procesos de antivirus, firewalls y archivos asociados que se encuentren instalados dejando al sistema vulnerable a los virus y ataques de hackers.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con extensión variable promedio de 48 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

La muestra fue enviada por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Se auto-envía masivamente a los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) de Eudora Mail y MSN Messenger haciendo uso del SMTP (Simple Mail Transfer Protocol) instalado en Internet Account Manager o el SMTP mail.ru.

Los mensajes tienen las siguientes características:

Asunto, elegido de una de las frases:

$150 FREE Bonus!!
25 merchants and rising!
Announcement!
Bad news!!
CALL FOR INFORMATION!
Click on this!
Correction of errors!
Cows
Daily Email Reminder!
Empty account!
Fantastic!
Free Shipping!
FSM32
Get 8 FREE issues - no risk!!
Get a FREE gift!
Greets!!
Hi!
History screen!
I need help about script!!!
Interesting...
Introduction
Its Easy! ing!
Just a reminder!
Lost & Found!
Market Update Report!
Membership Confirmation
My eBay ads!
New bonus in your cash account!
New Contests!
New Reading
News
Payment notices!
Please Help...
Report
SCAM alert!!!
Sponsors needed!
Star Wars II Movie
Stats
Today Only!!
Tools For Your Online Business!
Various!
Warning!
Wow!
Your Gift!
Your News Alert!!

Contenido, uno de los siguientes:

Attached one Gift for u..
Check the Attachment!
Check the Attachment..
Enjoy the Attachment!
Hi Check the Attachment ...
More details Attached!
See the Attachment!

Anexado: nombre de archivo de doble extensión con uno de los siguientes nombres:

bullshitscr
friends
friends4u
friendscr
friendsearch
friendsgreetings
friendship
friendship4u
friendshipbird
friendshipforu
friendsworld
fucker
greetings
love4u
lovefinder
lovegreetings
lovers
loverscreensaver
lovescr
loveshore
passion
passionup
rishtha
shakeit
shakescr
shakinglove
shakingfriendship saver
shareit
truefriends
truelovers
werfriends

Primera extensión:

.bmp
.dat
.gif
.htm
.jpg
.mdb
.mpg
.zip

Segunda extensión:

.bat
.pif
.scr

Al ejecutar el archivo anexado, el gusano muestra una de las siguientes falsas cajas de diálogo:

Al hacer click en "OK", libera y auto-copia al directorio %Windir% los siguientes componentes:

"%Windir%\[nombre_aleatorio].exe" (copia del gusano, con una extensión de 48 KB)
"%Windir%\kernel.dll" (componente de 70 KB)
"%Windir%\svchost.exe" (copia del gusano, con una extensión de 48 KB)

Para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nombre_aleatorio" = "%Windir%\nombre_aleatorio.exe"

Para almacenar la información extraída, genera las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\[nombre_aleatorio] "0"]
[HKEY_LOCAL_MACHINE\SOFTWARE\[nombre_aleatorio] "1"]
[HKEY_LOCAL_MACHINE\SOFTWARE\[nombre_aleatorio] "2"]
[HKEY_LOCAL_MACHINE\SOFTWARE\[nombre_aleatorio] "email_num"]
[HKEY_LOCAL_MACHINE\SOFTWARE\[nombre_aleatorio] "Sent"]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

[nombre_aleatorio] está compuesto por una cadena de caracteres alfabéticos en mayúsculas y minúsculas.

Una vez activado, el gusano terminará los procesos de los siguientes antivirus o firewalls que se encuentren instalados en el sistema infectado:

_AVP32
_AVPCC
_AVPM
ACKWIN32
ADVXDWIN
AGENTW.EXE
ALERTSVC
ALOGSERV
AMON9X
ANTI-TROJAN
ANTS
APVXDWIN
ATCON
ATUPDATER
ATWATCH
AUTODOWN
AVCONSOL
AVGCC32
AVGCTRL
AVGSERV
AVGSERV9
AVGW
AVKPOP
AVKSERV
AVKSERVICE
AVKWCTL9
AVP C
AVP32
AVPCC
AVPM
AVPM.EXE
AVSCHED32
AVSYNMGR
AVWINNT
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXQUAR.EXE
AVXW
BLACKD
BLACKICE
C.EXE
CCAPP.EXE
CCEVTMGR
CCEVTMGR.EXE
CCPXYSVC.EXE
CDP
CDP.EXE
CFGWIZ
CLAW95
CLAW95C
CLEANER
CLEANER3
CMGRDIAN
CONNECTIONMONITOR
CPD
CPD AT
CPDCLNT
CPDCLNT.EXE
CTRL
CTRL.EXE
DEFALERT
DEFSCANGUI
DEFWATCH
DOORS H
DOORS.EXE
DVP95
DVP95_0
EFPEADM
EFPEADM.EXE
ETRUSTCIPE
ETRUSTCIPE.EXE
EVPN.EXE
EXPERT
F-AGNT95
FAMEH32
FCH32
FIH32
FNRB32
F-PROT
F-PROT95
FP-WIN
FRW ERV
FSAA
FSAV32
FSGK32
FSGK32.EXE
FSMA32
FSMB32
F-STOPW
GBMENU
GBPOLL
GENERICS
GUARD
IAMAPP
IAMSERV
IAMSERV
IAMSTATS
ICLOAD95
ICLOADNT
ICMON
ICSUPP95
ICSUPPNT
IFACE
IOMON98
ISRV95
ITOR
JEDI
LDNETMON
LDPROMENU
LDSCAN
LOCKDOWN
LOCKDOWN2000
LUALL
LUCOMSERVER
LUSPT
MCAGENT
MCMNHDLR
MCTOOL
MCUPDATE
MCVSRTE
MCVSSHLD
MGAVRTCL
MGAVRTE
MGHTML
MINILOG
MONITOR
MOOLIVE
MPFAGENT.EXE
MPFSERVICE
MPFTRAY.EXE
MWATCH
NAV AUTO-PROTECT
NAVAP
NAVAPSVC
NAVAPW32
NAVENGNAVEX15
NAVLU32
NAVW32
NAVWNT
NDD32
NEOWATCHLOG
NETUTILS
NISSERV
NISUM
NMAIN
NORMIST
NOTST ART
NPROTECT
NPROTECT.EXE
NPSSVC
NSCHED32
NTRTSCAN
NTVDM
NTXCONFIG
NUI AN
NUPGRADE
NVC95 T
NVSVC32
NWSERVICE
NWTOOL16
PADMIN
PAVPROXY
PCCIOMON
PCCNTMON
PCCWIN97
PCCWIN98
PCSCAN
PERSFW
PERSWF
POP3TRAP
POPROXY
PORTMONITOR
PROCESSMONITOR
PROGRAMAUDITOR
PVIEW95
P-WIN.EXE
R.EXE
RAV7
RAV7WIN
REALMON
RESCUE
RTVSCN95
RULAUNCH
SBSERV
SCAN32
SCRSCAN
SMC
SPHINX
SPYXX
SS3EDIT
SWEEP95
SWEEPNET
SWEEPSRV.SYS
SWNETSUP
SYMPROXYSVC h1
SYMTRAY
TAUMON
TC
TCA
TCM
TDS-3 DI
TFAK
VBCMSERV
VBCONS
VET32
VET95
VETTRAY
VIR-HELP
VPC32
VPTRAY
VSCHED
VSECOMR
VSHWIN32
VSMAIN
VSMON
VSSTAT
WATCHDOG
WEBSCANX
WEBTRAP
WGFE95
WIMMUN32
WRADMIN
WRADMIN.EXE
WRCTRL
ZAPRO
ZONEALARM

Para infectar a través de Kazaa, el gusano se auto-copia con los nombres de archivos conformados por los 3 componentes a la carpeta %Windir%\Drivers y modifica el directorio de descarga en el registro:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0" = "012345:%Windir%\Drivers"

Para la propagación a través de Shareaza el gusano se auto-copia con los nombres de archivos conformados por los 3 componentes a la carpeta C:\My Downloads y modifica la llave de registro al igual que el caso anterior, pero apuntando a la carpeta de Shareaza.

Las copias son nombres de archivos aleatorios, resultantes de la combinación de 3 componentes:

Componente 1, elegido aleatoriamente de:

Age Of Empires 2
Age of Sail 2
Age Of Wonders 2
AikaQuest3Hentai
AIM Account Stealer
Aliens versus Predator 2 Primal Hunt
Austerlitz Napoleons Greatest Victory
Battle.net
Black And White
Borland Delphi 6
BORLAND Delphi 7
Cabelas Ultimate Deer Hunt 2
Cat Attacks Child
Civilization 3
CKY3 - Bam Margera World Industries Alien Workshop
Clive Barker's Undying
CloneCD
Comanche 4
Combat Flight Simulator 3
Crazy Taxi
Critical Point Manga game
Dark Age Of Camelot Shrouded Isles
Deadly Dozen
DSL Modem Uncapper
Duke Nukem Manhattan Project
Dweebs 2
Elder Scrolls III Morrowind THX Brrbrr
Emperor Rise Of the Middle Kingdom
Empire Earth
F1 Grand Pix 4
Free Virus Removal Tool From Symantec
Freedom Force
Gearhead Garage
Gladiator
Grand Prix 4
Grand Theft Auto 3
GTA 3
Hacking Tool Collection
Half Life Blue Shift
Half-life ONLINE
Half-life WON
Hard Truck 18 Wheels of Steel
Hitman 2 Silent Assassin
Hoyle Card Games 2003
Industry Giant 2
International Cricket Captain 2003
Internet and Computer Speed Booster
KaZaA Media Desktop v2.5 UNOFFICIAL
KaZaA Spyware Remover
LordOfTheRingsr
Macromedia
Macromedia Dreamweaver MX
Macromedia Flash 5.0
Mafia
Microsoft Office XP
MoviezChannelsInstaler
MS Train Simulator
MSN Password Hacker and Stealer
Necromania Trap Of Darkness
Need For Speed 5 Porsche Unleashed
Nero Burning Rom 5.8.0.1
Neverwinter Nights
Norton AntiVirus 2002
Norton Utilities 2002 XP
Prisoner Of War
Quake 3 Arena
Quake 4 BETA
Red Ace Squadron
Shakira
SIMS
Soldier Of Fortune 2
Soldiers Of Anarchy
Squad Battles Eagles Strike
Star Wars II Movie
Star Wars Starfighter
Strike Fighter Project 1
Stronghold Crusader
Sudden Strike 2
The Eye Of Kraken
The Neverending Story Part I
The Sun Of All Fears
The Thing
Tomb Raider 3
Unreal Tournament 3
Valhalla Chronicles
Warcraft 3
Warcraft 3 battle.net
Warcraft 3 ONLINE
Windows XP
Windows XP SP1
Winrar 3.2
Winzip 8.0
Xbox.info
Zidane-ScreenInstaler
ZoneAlarm Firewall

Componente 2, uno de las siguientes alternativas:

ISO
ninguno

Componente 3, elegido aleatoriamente de:

Key Generator.exe
Full Downloader.exe
Patch.exe
Crack.exe

Ejemplo: ZoneAlarm Firewall ISO Crack.exe

También infecta archivos con extensión .EXE, a los cuales inserta su código viral en la cabecera de los mismos dejándolos dejándolos inoperativos.

Finalmente el gusano libera e inserta el archivo KERNEL.DLL dentro del proceso del EXPLORER.EXE para vulnerar los Firewalls personales.

Sus payloads son los siguientes:

Se auto-envía a los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) de Eudora Mail y MSN Messenger con diversos Asuntos, Contenidos y archivos Anexados, elegidos aleatoriamente.
Usa el SMTP instalado en el sistema para el envío masivo de mensajes.
También se propaga a través de las redes P2P Kazaa y Shareaza.
Termina los procesos de los antivirus y firewalls que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus informáticos y a los hackers.
Inserta un archivo en el EXPLORER.EXE para vulnerar los Firewalls personales.
Infecta archivos ejecutables a los cuales deja inoperativos.
Será necesario re-instalar el sistema operativo.

PER ANTIVIRUS® versión 8.1 con registro de virus al 24 de Junio del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)