Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Nocana (aka Naco) - usuwa pliki i formatuje dyski

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P służących do wymiany plików. Ma postać pliki PE EXE i został stworzony przy użyciu języka programowania Visual Basic. Szkodnik wyposażony jest w procedurę backdoor.

Obecnie znane są trzy, nieznacznie różniące się, wersje robaka:

  • "Nocana.a" o rozmiarze około 29 KB (kompresja UPX),
  • "Nocana.b" o rozmiarze około 86 KB,
  • "Nocana.c" o rozmiarze około 32 KB (kompresja UPX).

Robak aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi jej załącznik. Należy zwrócić uwagę na fakt, iż prawdziwy typ załączonego pliku (EXE) ukryte jest pod postacią rozszerzenia JPG.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "ANACON.EXE" i tworzy w rejestrze systemowym następujące klucze:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    AHU= %FolderSystemowy%\ANACON.EXE,
  • HKLM\Software\Microsoft\Windows\CurrentVersion\
    RunServices Hvewsveqmg = %FolderSystemowy%\ANACON.EXE,
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Cvfjx = %FolderSystemowy%\ANACON.EXE.

Pozostałe wersje robaka tworzą dodatkowe kopie z następującymi nazwami:

  • syspoly32.exe,
  • build.exe,
  • force.exe,
  • scan.exe,
  • runtime.exe,
  • hangup.exe,
  • hungry.exe,
  • thing.exe,
  • against.exe,
  • wars.exe.

Dodatkowo robak podejmuje próby wyłączania aktywnych programów antywirusowych oraz zapór ogniowych.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik korzysta z programu MS Outlook oraz z jego książki adresowej. Wiadomości wyglądają następująco:

"Nocana.a":

Temat:

  • Do you happy?
  • Riyadh Issue: Al-Qaeda vs FBI
  • Osama Bin Laden Come Back!
  • Al-Qaeda News: Bombing Mission Success!
  • Check This Out!
  • Re: can mali can!
  • Al-Qaeda Team Entertainment News
  • [AQTE News]
  • Al-Jazeera: AQTE Come back!
  • Hi, may I read your mind?
  • Acheh Issue: What Solution!
  • Saddam Hussein Still alive
  • Iraqi people don't want US Control.
  • Let's Iraqi people build their country.
  • Download New 256-Bit Encryption Software
  • Alert! W32.HLLW.Anacon@mm Worm Has been detected!
  • Register you Windows Now!
  • Get free update Microsoft Windows Media Player
  • TIPS: How to hide your IP Address!
  • How to Protect you PC from Hackers!

Treść:

  • Hi dear,
    Once I was first saw you, I was fall in love! Even you are already has special friend!
    Fall In Love,
    Rekcahlem ~=~ Anacon

Nazwa załącznika:

  • anakon.jpg

"Nocana.b,c":

Temat:

  • Do you happy?
  • Great News! Check it out now!
  • Just for Laught!
  • TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
  • What New in TechTV!
  • FoxNews Reporter: Hello! SARS Issue!
  • Get Free XXX Web Porn!
  • Oh, my girl!
  • Crack - Download Accerelator Plus 5.3.9
  • Do you remember me?The ScreenSaver: Wireless Keyboard
  • VBCode: Prevent Your Application From Crack
  • Re: are you married?(1)
  • Download WinZip 9.0 Beta
  • Young and Dangerous 7
  • Alert! W32.Anacon.B@mm Worm Has been detected!
  • Run for your life!
  • Update: Microsoft Visual Studio .Net
  • Your Password: jad8aadf08
  • Tired to Search Anonymous SMTP Server?

Treść:

    Hello dear,
    I'm gonna missed you babe, hope we can see again!
    In Love,
    Rekcahlem ~<>~ Anacon

Nazwa załącznika:

  • anacon.exe
  • build.exe
  • force.exe
  • scan.exe
  • runtime.exe
  • hangup.exe
  • hungry.exe
  • thing.exe
  • against.exe
  • wars.exe

Infekowanie sieci P2P

Robak umieszcza swoje kopie w folderach współdzielonych następujących systemów P2P:

  • KMD,
  • Kazaa,
  • Morpheus,
  • Grokster,
  • BearShare,
  • Edonkey2000,
  • Limewire.

Kopie szkodnika posiadają następujące nazwy:

"Nocana.a":

  • X-Men II Trailer.mpg.exe
  • The Matrix Reloaded.jpg.exe
  • Jonny English (JE).avi.exe
  • EmpireEarthII.msi.exe
  • Setup.exe
  • JumpingJumping.exe
  • SuperMarioBrother.exe
  • YoungAndNotTooDangerous.exe
  • Nokia8250Series.exe
  • About SARS Solution.doc.exe
  • Dont eat pork.. SARS in there.jpg.exe
  • Mesmerize.exe
  • MSVisual C++.exe
  • Installer.exe
  • Q544512.exe
  • jdbgmgr.exe
  • WindowsXP PowerToys.exe
  • WMovie Maker II.exe
  • WindowsUpdate.exe
  • SEX_HOT.exe

"Nocana.b,c":

  • The Matrix Evolution.mpg.exe
  • The Matrix Reloaded Preview.jpg.exe
  • Jonny English (JE).avi.exe
  • DOOM III Demo.exe
  • winamp3.exe
  • JugdeDread.exe
  • Microsoft Visual Studio.exe
  • gangXcop.exe
  • Upgrade you HandPhone.exe
  • About SARS Solution.doc.exe
  • Dont eat pork. SARS in there.jpg.exe
  • VISE.exe
  • MSVisual C++.exe
  • QuickInstaller.exe
  • Q111023.exe
  • jdbgmgr.exe
  • WindowsXP PowerToys.exe
  • InternationalDictionary.exe
  • EAGames.exe
  • SEX_HOTorCOOL.exe

Procedura backdoor

Szkodnik wyposażony jest w procedurę backdoor, która pozwala hakerowi na wykonywanie następujących operacji na zainfekowanym komputerze:

  • pełne udostępnianie wszystkich plików oraz kluczy rejestru,
  • wysyłanie informacji o zainfekowanym komputerze,
  • wysyłanie haseł zapisanych na dyskach,
  • przechwytywanie i wysyłanie znaków wpisywanych z klawiatury,
  • uruchamianie plików pobranych z internetu,
  • modyfikowanie rozdzielczości ekranu,
  • przeprowadzanie ataków DoS.

Funkcje dodatkowe

Jeżeli na dyskach zainfekowanego komputera istnieją foldery C:\Inetpub\wwwroot\ oraz D:\Inetpub\wwwroot\ robak zmienia nazwy znajdujących się w nich plików:

  • index.htm -> Anacon_Index.htm,
  • default.htm -> Anacon_Default.htm,
  • index.html -> Anacon_Index.html,
  • default.html -> Anacon_Default.html,
  • index.asp -> Anacon_Index.asp,
  • default.asp -> Anacon_Default.asp,

i zastępuje zawartość oryginalnych plików tekstem:

I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain and AQTE
Anacon G0t ya! By Melhacker - The Real Hacker!

1, 4, 8, 12, 16, 20, 24 oraz 28 dnia każdego miesiąca robak wykonuje jedną z poniższych czynności:

  • uruchamia wszystkie pliki znajdujące się w bieżącym folderze (w większości przypadków jest to folder Windows),
  • wyświetla komunikat:

    Anacon W0rm
    The only I have to say is, I need you babe!

  • formatuje dysk D:,
  • usuwa wszystkie pliki znajdujące się w bieżącym folderze (w większości przypadków jest to folder Windows).

1, 4, 8, 12, 16, 20, 24 oraz 28 dnia każdego miesiąca robak usuwa wszystkie pliki DLL, NLS oraz OCX znajdujące się w bieżącym folderze (w większości przypadków jest to folder Windows).



 2003-05-27  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych