Лаборатория Касперского поямала нового червя, однако, что радует, пока никто им не заболел. Новичок "Nocana", также известный как "Naco", распространяется обычным для червей способом - через интернет в виде файлов, прикрепленных к зараженным письмам. Кроме того, он ползет и по P2P-сетям обмена файлами.
В копии червя могут стоять имена:
The Matrix Reloaded.jpg.exe
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
"Nocana" написан на Visual Basic. Он "родственник" червя "I-Worm.Melare". Известно несколько версий "Nocana", которые незначительно отличаются друг от друга. "Nocana.a" : около 29K (упакован UPX, размер распакованного файла - около 80K); "Nocana.b" : около 86K; "Nocana.c" : около 32K (упакован UPX, размер распакованного файла - около 100K).
Нужно иметь в виду, что реальное .EXE-имя файла во вложении скрыто "ложным" .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом зараженное EXE-вложение в письме выглядит как .JPG-файл, однако, при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. "Nocana" останавливает и выгружает активные процессы некоторых антивирусов и файерволов. Червь записывает свои копии в каталоги обмена файлами сетей KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000, Limewire.
Ежемесячно по числам: 1, 4, 8, 12, 16, 20, 24 и 28 червь случайным образом выполняет одно из действий:
- запускает все файлы из текущего каталога (как правило - в системном каталоге Windows)
- выводит сообщение:
Anacon W0rm
The only I have to say is, I need you babe! - форматирует диск D:
- уничтожает все файлы в текущем каталоге (как правило - в системном каталоге Windows)