W32/Naco.B@mm, I.worm.Naco.B@mm

Naco.B es un destructivo gusano reportado el 27 de Mayo del 2003, variante del Naco, y que se propaga vía mensajes de correo con diversos Asuntos, un mismo Contenido y el archivo anexado de nombre stars.exe. 

También se difunde a través de las populares redes Peer to Peer Kazaa, BearShare, eDonkey, Morpheus, Grokster y LimeWire y desconfigura los sitios web que infecta. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic con una extensión de 134.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Su autor es el hacker de origen malasio, conocido como Melhacker y la muestra fue enviada por un miembro del portal de Indonesia:

http://www.indovirus.net  

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta Global de Direcciones de Windows, con las siguientes características: 

Asunto: 
Do you happy?
Great News! Check it out now!
Just for Laught!
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
What New in TechTV!
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Oh, my girl!
Crack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
VBCode: Prevent Your Application From Crack
Re: are you married?(1)
Download WinZip 9.0 Beta
Young and Dangerous 7
Alert! W32.Anacon.B@mm Worm Has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: jad8aadf08
Tired to Search Anonymous SMTP Server?

Contenido:
Hello dear,
I'm gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Anexado: WARS.EXE 

Al ejecutar el archivo, el gusano se autocopia a la carpeta %System% como WARS.EXE y SYSPOLY32.EXE y para activarse la próxima vez que se inicie el sistema genera las siguientes llaves de registro, en forma aleatoria:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AHU" = "%System%\SYSPOLY32.EXE"
"Nocana" = "%System%\wars.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"InterceptedSystem" = "%System%\SYSPOLY32.EXE"

[HKEY_CURRENT_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
"PowerManagement" = "%System%\SYSPOLY32.EXE"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para infectar a través de las redes Peer to Peer, el gusano se copia a las siguientes rutas, en caso éstas existan en el sistema infectado: 

• %Archivos de programa%\KMD\My Shared Folder\   (KMD = Kazaa Media Desktop)
• %Archivos de programa%\Kazaa\My Shared Folder\
• %Archivos de programa%\KaZaA Lite\My Shared Folder\
• %Archivos de programa%\Morpheus\My Shared Folder\
• %Archivos de programa%\Grokster\My Grokster\
• %Archivos de programa%\BearShare\Shared\
• %Archivos de programa%\Edonkey2000\Incoming\
• %Archivos de programa%\limewire\Shared\ 

Con los siguientes nombres de archivos:

• The Matrix Evolution.mpg.exe
• The Matrix Reloaded Preview.jpg.exe
• Jonny English (JE).avi.exe
• DOOM III Demo.exe
• winamp3.exe
• JugdeDread.exe
• Microsoft Visual Studio.exe
• gangXcop.exe
• Upgrade you HandPhone.exe
• About SARS Solution.doc.exe
• Dont eat pork. SARS in there.jpg.exe
• VISE.exe
• MSVisual C++.exe
• QuickInstaller.exe
• Q111023.exe
• jdbgmgr.exe
• WindowsXP PowerToys.exe
• InternationalDictionary.exe
• EAGames.exe
• SEX_HOTorCOOL.exe

Los payloads de este gusano son los siguientes:

• Se auto-envía a través de mensajes de correo haciendo uso de la Libreta de Direcciones de Windows.
• Termina los procesos de antivirus, firewalls y software de seguridad, dejando totalmente desprotegidos a los sistemas que infecta. 
• Infecta a los usuarios de las más populares redes Peer to Peer.
• Se propaga e infecta archivos de unidades de disco en redes con recursos compartidos.

PER ANTIVIRUS® versiones 8.0 y 8.1, con registro de virus al 27 de Mayo del 2003 detectan y eliminan  eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)