Antivirus and Security Software from Sophos

W32/Anacon-B

Alias
  • W32.Naco@mm
  • I-Worm.Anacon
  • W32/Naco@mm
  • Win32.Naco.b
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Protección disponible desde 28 de septiembre de 2003 09:46:42 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Vea la información (en inglés) para eliminar gusanos.

Más información

W32/Anacon-B es un gusano de email con funciones de troyano de puerta trasera. El gusano se extiende a través de email, a todos los contactos en la libreta de direcciones de Outlook, y a través de unidades compartidas de red y redes de intercambio de archivos.

El gusano llega en un email con las siguientes características:

Asunto: en blanco o uno de los siguientes -
Alert! W32.Anacon.B@mm Worm Has been detected!
Crack - Download Accerelator Plus 5.3.9
Do you happy?
Do you remember me?
Download WinZip 9.0 Beta
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Great News! Check it out now!
Just for Laught!
Oh, my girl!
Re: are you married?(1)
Run for your life!
The ScreenSaver: Wireless Keyboard
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
Tired to Search Anonymous SMTP Server?
Update: Microsoft Visual Studio .Net
VBCode: Prevent Your Application From Crack
Young and Dangerous 7
Your Password: jad8aadf08

Mensaje: Hello dear,
I'm gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Archivo adjunto: uno de los siguientes -
AGAINST.EXE
FORCE.EXE
HANGUP.EXE
HUNGRY.EXE
RUNTIME.EXE
SCAN.EXE
WARS.EXE

El archivo adjunto es un comprimido que contiene ANACON.BAT, MSWINSCK.OCX y NACO.EXE, donde NACO.EXE es una variante del gusano comprimida con diferentes versiones de UPX (puede variar en tamaño).

Al ejecutarse, el gusano descomprime, ejecuta y borra ANACON.BAT, que a su vez copia y registra MSWINSCK.OCX en la carpeta C:\Progra~1, ejecuta una copia no descomprimida del gusano, se copia en la carpeta System de Windows y extrae la copia SysAna32.exe, Anacon.exe o Syspoly32.exe.

El gusano crea las siguientes entradas en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Nocana" = <ruta a la copia del adjunto>
"AHU" = <ruta a la versión descomprimida>

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"InterceptedSystem" = <ruta a la copia no descomprimida>

HKCU\Software\mirabilis\ICQ\Agent\Apps\Cvjlkfbip
"Startup" = <ruta a la carpeta System>
"Enable" = "Yes"
"Parameters" = ""
"Path" = <ruta a la copia no descomprimida>

Con la última clave, el gusano se activará cuando se inicie el servicio ICQ.

Para compartir la unidad C: el gusano intentará añadir la entrada HACKERz en las siguientes claves:

HKLM\SYSTEM\ControlSet001\Services\lanmanserver\Shares
HKLM\SYSTEM\ControlSet002\Services\lanmanserver\Shares
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

Para extenderse a través de redes de intercambio de archivos, el gusano intentará copiarse en las carpetas compartidas de estos programas:

\KMD\My Shared Folder\
\Kazaa\My Shared Folder\
\KaZaA Lite\My Shared Folder\
\Morpheus\My Shared Folder\
\Grokster\My Grokster\
\BearShare\Shared\
\Edonkey2000\Incoming\
\limewire\Shared\

con alguno de los siguientes nombres:
About SARS Solution.doc.exe
Dont eat pork. SARS in there.jpg.exe
DOOM III Demo.exe
EAGames.exe
gangXcop.exe
InternationalDictionary.exe
jdbgmgr.exe
Jonny English (JE).avi.exe
JugdeDread.exe
Microsoft Visual Studio.exe
MSVisual C++.exe
QuickInstaller.exe
SEX_HOTorCOOL.exe
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
Upgrade you HandPhone.exe
VISE.exe
winamp3.exe
WindowsXP PowerToys.exe

El gusano intenta inhabilitar diferentes aplicaciones antivirus:
_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
Findviru.exe
Fprot.exe
f-Prot.exe
f-Prot95.exe
Fp-Win.exe
Frw.exe
f-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

Como troyano de puerta trasera, el gusano abre una conexión a través de un puerto que permitiría el acceso no autorizado al equipo infectado y controlar la bandeja del CD-ROM y su reproducción, el portapapeles, reproducir archivos multimedia, copiar un programa de registro de pulsaciones y actualizarse desde la Web http://vx.netlux.org/~melhacker/anaconII.exe o \bgII.exe.

El gusano envía un email a la dirección <chatza@phreaker.net> con información confidencial del sistema, con los campos:
EXE Backdoor Name:
Operating System:
Internet Explorer Version:
Windows Directories:
System Directories:
Sound Card:
Current Screen Resolution:
Current Time:
IP Address:
Current Port Number:
UserName:
ComputerName:
Cached Password:
(For Win9x/Me Only)
Host:
Drive(s):
Type of Drives:
ICQ UINs:

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes