NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nueva variante del gusano W32/Yaha.

Nombre de virus: W32/Yaha.g@MM
Alias conocidos:  W32/Yaha-E, WORM_YAHA.E, W32/Lentin.E
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación:  Por ejecución de fichero adjunto infectado (o autoejecución via MIME)
Propagación: Adjunto a un mensaje de correo electrónico
Detección: desde DATS 4208 
Motor necesario: desde 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)


El gusano w32/Yaha.g@MM se presenta como adjunto a un mensaje de correo electrónico con la siguiente información:
 
Asunto: Fw: (cualquiera de las siguientes cadenas y sus combinaciones: searching for true Love, you care ur friend, Who is ur Best Friend, make ur friend happy, True Love, Dont wait for long time, Free Screen saver, Friendship Screen saver, Looking for Friendship, Need a friend?, Find a good friend, Best Friends, I am For u, Life for enjoyment, Nothink to worryy, Ur My Best Friend, Say 'I Like You' , To ur friend, Easy Way to revel ur love, Wowwwwwwwwwww check it, Send This to everybody u like, Enjoy Romantic life, Let's Dance and forget pains, war Againest Loneliness, How sweet this Screen saver, Let's Laugh, One Way to Love, Learn How To Love, Are you looking for Love, love speaks from the heart, Enjoy friendship, Shake it baby, Shake ur friends, One Hackers Love, Origin of Friendship, The world of lovers, The world of Friendship, Check ur friends Circle Friendship, how are you, U r the person? Hi, U realy Want this, Romantic, humour, New, Wonderfool, excite, Cool, charming, Idiot, Nice, Bullshit, One, Funny, Great, LoveGangs, Shaking, powful, Joke, Interesting, Screensaver, Friendship, Love, relations, stuff, to ur friends, to ur lovers, for you, to see, to check, to watch, to enjoy, or to share)

nota: El cuerpo del mensaje contiene direcciones URL construídas. Estas direcciones se crean desde las siguientes cadenas: (screensaver, screensaver4u, screensaverforu, freescreensaver, love, lovers, lovescr, loverscreensaver, loversgang, loveshore, love4u, lovers, enjoylove, sharelove, shareit, checkfriends, urfriend, friendscircle, friendship, friends, friendscr, friends, friends4u, friendship4u, friendshipbird, friendshipforu, friendsworld, werfriends, passion, bullshitscr, shakeit, shakescr, shakinglove, shakingfriendship, passionup, rishtha, greetings, lovegreetings, friendsgreetings, friendsearch, lovefinder, truefriends, truelovers, fucker) seguidas por .com, .net, o .org.

Mensaje:
Hi
Check the Attachement ..
See u

o

Hi
Check the Attachement ..

o

Attached one Gift for u..

o

wOW CHECK THIS
nombre del remitente

entonces


This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients.

This is a permanent error. The following address(es) failed:dirección e-mail del remitente infectado

For further assistance, please contact < postmaster@url construída > If you do so, please include this problem report. You can delete your own text from the message returned below.

Copy of your message, including all the headers is attached

o

----- Original Message -----
From: "freescreensaver" < url construída >
To: < dirección del destinatario >
Sent: fecha/hora
Subject: asunto aleatorio

This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.url construída to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you'll know you
have a circle of friends.

* To remove yourself from this mailing list, point your browser to:
http://url contruída/remove?freescreensaver
* Enter your email address (dirección del destinatario) in the field provided and click "Unsubscribe".

o

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address dirección del destinatario
X-PMG-Recipient: dirección del destinatario
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
 
 
Attachment: (la extensión del ficheros consta de dos cadenas ".doc", ".mp3", ".xls", ".wav", ".txt", ".jpg", ".gif", ".dat", ".bmp", ".htm", ".mpg", ".mdb", ".zip", o "" y luego ".pif", ".bat", o ".scr" mientras que el nombre del fichero se escoge de la siguiente lista: loveletter, resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report, o love)
 
Algunos mensajes enviados explotan la vulnerabilidad Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability, mientras que otros no. Si explotan esta vulnerabilidad, un sistema sin los parches adecuados ejecutará el adjunto. En el resto de casos, el fichero adjunto debería ser ejecutado manualmente para provocar la infección.
Una vez ejecutado, el virus se copia en la Papelera de Reciclaje con un nombre de cuatro caracteres aleatorios, y modifica el registro de sistema para cargarse siempre que se ejecute un fichero .EXE.
HKEY_CLASSES_ROOT\exefile\shell\open\command\default="%ruta_del_virus%" %1 %*"
 
Se guarda un fichero de texto al directorio Windows, utilizando el mismo nombre aleatorio. Este fichero de texto contiene el siguiente mensaje:
 
 
  <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
 
iNDian sNakes pResents yAha.E
 
iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE GFORCE-pAK shites
 
bY
 
sNAkeeYes,c0Bra
 
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
 
Cuando se ejecuta el virus, puede mostrar una caja de mensaje. El mensaje a visualizar se selecciona de la lista siguiente: Ur My Best Friend!! , No Configuration is availabile Now ,Config , madd , U r so cute today #!#! ,True Love never ends , I like U very much!!! , U r My Best Friend
 
Puede visualizarse un protector de pantalla, con la imagen moviéndose de atrás hacia adelante.
 
La ejecución de w32/Yaha.g@MM puede intentar finalizar los siguientes procesos si están corriendo en memoria: ANTIVIR, ATRACK, AVCONSOL, AVP.EXE, AVP32, AVSYNMGR, CFINET, CFINET32, F-PROT95, FP-WIN, F-STOPW, IAMAPP, ICMON, IOMON98, LOCKDOWN2000, LUALL, LUCOMSERVER, MCAFEE, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NISSERV, NISUM, NMAIN, NORTON, NVC95, PCCWIN98, POP3TRAP, PVIEW95, RESCUE32, SAFEWEB, SCAM32, SIRC32, SYMPROXYSVC, VSHWIN32, VSSTAT, WEBSCANX, WEBTRAP, WINK, ZONEALARM


El virus intenta reunir direcciones de email de enlaces MAILTO dentro de ficheros *ht*, *HoTMaiL*, la Libreta de Direcciones de Windows, el MSN Messenger, ICQ, y listas de contactos Yahoo Pager. Envía mensajes a las direcciones encontradas, utilizando SMTP. El servidor SMTP por defecto se obtiene del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
El gusano también guarda una copia codificada en MIME de sí mismo al directorio TEMP, como kitkat,  que utiliza cuando se envía masivamente.
 
 
Para eliminar este virus, DESCONECTAR LOS EQUIPOS DE RED, ejecutar la utilidad ELIYAHA (disponible en nuestra web), reiniciar el sistema arrancando en modo MS DOS y ejecutar el LIMPIA (también disponible en nuestra web), para XP, NT ó 2000 una vez ejecutada la utilidad ELIYAHA reiniciar el equipo y ejecutar LIMPIANT
 
 
Se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en www.satinfo.es
 
 
SATINFO, VIRUSCAN SPAIN SERVICE                       27 de Junio de 2002

Anterior