|
AHKER.B destructivo gusano de Correo IRC y P2P, deshabilita antivirus firewalls termina procesos, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Ahker.B@mm, I.worm.Ahker.B@mm
Ahker.B es un gusano reportado el 24 de Enero del 2005, de propagación masiva a través de un mensaje de Correo con Remitentes disfrazados bajo la técnica Spoofing,
que simula contener un parche para el Service Pack 2 de Windows.
También puede propagarse por el IRC (Internet Chat Relay) y las redes Peer to Peer.
Termina importantes procesos del sistema y de la mayoría de antivirus, firewalls y software de control. Modifica el archivo HOSTS impidiendo el acceso a determinados sitios de la web.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 13 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB) o MS Outlook.
El mensaje tiene las siguientes características:
Remitente, emplea la técnica Spoofing que disfraza a los verdaderos remitentes.
Asunto: Service Pack 2 BUG!!
Contenido:
Dear user I have been informed thate there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fixs the bug and keep your system safe.You will find the Patch file in the attachment, feal free to send it to anyone. I'll be in touch with you as soon another bug
is found.
Regards,
A.H
Anexado: FIX_SP2.ZIP
Este archivo comprimido es descargado por el gusano desde el siguiente sitio web:
http://geocities.com/vip_asshole/ahkerb.zip
Al ser activado se copia a la carpeta %System% como Services.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norton Auto-Protect" = "%System%\Services.exe"
Libera además una copia de sí mismo en la carpeta %Startup% y para activarse cada vez que se abre un archivo con extensión .TXT crea la siguiente llave de registro:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@ = "Services.exe %1"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.
Al siguiente inicio del sistema termina los procesos:
- regedit.exe (Editor de Registros)
- notepad.exe (Bloc de Notas)
- wordpad.exe (Editor de textos Word)
- msnmsgr.exe (MSN Messenger)
- write.exe (Editor de textos Word)
- wuauclt.exe (Administrador de actualizaciones para Windows ME)
- wupdmgr.exe (Administrador de información de procesos)
para lo cual modifica las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "dword:00000001"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "dword:00000001"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1" = "regedit.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"2" = "notepad.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"3" = "wordpad.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"4" = "write.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"5" = "wuauclt.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"6" = "wupdmgr.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"7" = "C:\Archivos de programa\MSN Messenger\msnmsgr.exe"
deshabilita el System Restore al agregar las siguientes llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore]
"DisableSR" = "dword:00000001"
[HKEY_CURRENT_USER\Software\Microsoft\security center]
"FirewallDisableNotify" = "dword:00000001"
deshabilita el Auto update y el Firewall de Windows firewall agregando las llaves:
[HKEY_CURRENT_USER\Software\Microsoft\security center]
"UpdatesDisableNotify" = "dword:00000001"
[HKEY_CURRENT_USER\Software\Microsoft\security Center]
"AntiVirusDisableNotify" = "dword:00000001"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate" = "dword:00000001"
El gusano manipula el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a diversos importantes portales:
- 127.0.0.1 www.astalavista.com
- 127.0.0.1 www.cnn.com
- 127.0.0.1 www.coderheaven.com
- 127.0.0.1 www.fbi.gov
- 127.0.0.1 www.gamerevolution.com
- 127.0.0.1 www.geocities.com
- 127.0.0.1 www.google.com
- 127.0.0.1 www.hackers.com
- 127.0.0.1 www.hotmail.com
- 127.0.0.1 www.idm.com
- 127.0.0.1 www.messenger.msn.com
- 127.0.0.1 www.microsoft.com
- 127.0.0.1 www.msn.com
- 127.0.0.1 www.norton.com
- 127.0.0.1 www.rohitab.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 www.worldsex.com
- 127.0.0.1 www.wwe.com
- 127.0.0.1 www.yahoo.com
Termina los siguientes procesos si estuviesen en ejecución:
- AGENTSVR.exe
- ANTIVIRUS.exe
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- ATCON.EXE
- ATRO55EN.EXE
- ATUPDATER
- ATUPDATER.exe
- ATWATCH.EXE
- AUPDATE.exe
- AUTODOWN.exe
- AUTOTRACE.exe
- AUTOUPDATE.exe
- AVCONSOL.EXE
- AVGSERV9.EXE
- AVLTMAIN.exe
- AVPUPD.exe
- AVSYNMGR.EXE
- AVWUPD32.exe
- AVXQUAR.exe
- AVprotect9x.exe
- Ackwin32.exe
- Alogserv.exe
- Amon.exe
- Anti-trojan.exe
- Apvxdwin.exe
- Atguard.exe
- Au.exe
- Ave32.exe
- Avkserv.exe
- Avnt.exe
- Avpcc.exe
- Avpm.exe
- Avwin95.exe
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BISP.EXE
- BLACKD.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- BlackIce.exe
- CDP.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIAUDIT.exe
- CFINET.EXE
- CFINET32.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- Claw95cf.exe
- Cmgrdian.exe
- D3dupdate.exe
- DEFWATCH.EXE
- DEPUTY.EXE
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.EXE
- DRWEBUPW.exe
- ENT.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- Ecengine.exe
- Esafe.exe
- F-prot95.exe
- FAST.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- Findviru.exe
- Fp-win.exe
- Fprot.exe
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- Guarddog.exe
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.EXE
- ICSSUPPNT.exe
- ICSUPP95.EXE
- ICSUPP95.exe
- ICSUPPNT.EXE
- IFW2000.EXE
- IPARMOR.EXE
- IRIS.EXE
- Iamapp.exe
- Iomon98.exe
- JAMMER.EXE
- KAVLI00003A74
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LSETUP.EXE
- LUALL.exe
- LUCOMSERVER.EXE
- LUINIT.EXE
- Lookout.exe
- MCAGENT.EXE
- MCUPDATE.EXE
- MCUPDATE.exe
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPSvc.exe
- NAVDX.EXE
- NAVSTUB.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NETARMOR.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NSCHED32.EXE
- NTVDM.EXE
- NUPGRADE.exe
- NUPGRADE.exe
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- Navapsvc.exe
- Navapw32.exe
- Navt.exe
- Navw32.exe
- Navwnt.exe
- Navwt.exe
- Nod32.exe
- Nsplugin.exe
- OSTRONET.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- Ogrc.exe
- Outpost.exe
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAV8WIN32ENG.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- Rav7.exe
- Rulaunch.exe
- SAFEWEB.EXE
- SAVScan.exe
- SBSERV.EXE
- SD.EXE
- SETUPVAMEEVAL.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SFC.EXE
- SGSSFW32.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- SPF.EXE
- SPHINX.EXE
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYSEDIT.EXE
- Scan32.exe
- Smss.exe
- Spider.exe
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS-3.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.EXE
- UPDATE.exe
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXEVNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- Vet95.exe
- Vettray.exe
- Vsmain.exe
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
- Zonalarm.exe
- _Avpcc.exe
- _avpm.exe
- _findviru.exe
- avserve2.exe
- ccApp.exe
- dfw.exe
- fsav32.exe
- fsbwsys.exe
- fsgk32.exe
- fsm32.exe
- fssm32.exe
- fvprotect.exe
- mcagent.exe
- msblast.exe
- navdx.exe
- navstub.exe
- nc2000.exe
- ndd32.exe
- netarmor.exe
- netinfo.exe
- netmon.exe
- nmain.exe
- nprotect.exe
- ntvdm.exe
- ostronet.exe
- pccguide.exe
- pcciomon.exe
- regedit.exe
- regedit32.exe
- taskmgr.exe
- tnbutil.exe
- vbcons.exe
- vbsntw.exe
- vbust.exe
- vsmain.exe
- vsmon.exe
- vsstat.exe
- winlogon.exe
con lo cual deshabilita a los antivirus y software de seguridad que estuviesen instalados dejando a los sistemas infectados totalmente vulnerables a los virus y ataques de intrusos.
PER ANTIVIRUS® versión 9.0 y 9.1 con registro de virus al 24 de Enero del 2005 detecta y elimina eficientemente este gusano.
