Agent.AAWD

AGENT.AAWD, gusano de correo modifica el archivo HOSTS bloquea acceso a sitios web relacionados a antivirus.

W32/Agent.AAWD@mm

Agent.AAWD es un gusano de correo reportado el 13 de Septiembre del 2007 de propagación masiva que modifica el archivo HOSTS, y bloquea el acceso a sitios web relacionados a software antivirus para impedir sus actualizaciones.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 79KB y no está encriptado. En su lugar ustiliza el algoritmo MD5:

66b95d9b052d90afea298481f35be570

Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) y de los archivos con las siguientes extensiones:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
txt
wab

También extrae direcciones de la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]

El mensaje tiene las siguientes características:

Remitente, las direcciones extraidas o empleando la técnica Spoofing, uno de los siguientes:

Harris
Thomas
Allen
Peterson
Edwards
Taylor
Jackson
Anderson
Collins
Parker
Carter
Phillips
Clark
Miller
Davis
Wilson
White
Jones
Johnson
Thompson
Stevens
Wright
Campbell
Smith
James
George
Julie
Debby
Helen
Steve
Linda
Jerry
Kevin
David
Brian
Michael
Ashlee
Andrew
Jenny
Sally
Suzie

Asunto, uno de los siguientes:

Someone has sent you a Private Message!
You have just recieved a NEW message!
You have (1) NEW messages!

Contenido:

You have just recieved a new Google Message!
You can view your message here: http://www.google.com/[Censurado]

Note: If you do not already have Google Message Viewer installed, you will be prompted to install it.

Al hacer click en el enlace, se copia a la carpeta %System% como sysboot32.exe para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System Boot Loader" = "%System%\sysboot32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente inicio del equipo, el gusano inicia su rutina de envio masivo de mensajes de correo y deshabilita el acceso a los siguientes sitios web:

auth.ahnlab.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
suc.ahnlab.com
symantec.com
trendmicro.com
update.microsoft.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
virustotal.com
www.ahnlab.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.virustotal.com

PER ANTIVIRUS® versión 10.2 con registro de virus al 13 de Septiembre del 2007 detecta y elimina eficientemente este gusano.