Ahcker.F

AHKER.F gusano de Correo P2P e IRC deshabilita programas servicios vulnera seguridad del sistema, etc.

W32/Ahker.F@mm, I.worm.Ahker.F@mm

Ahker.F es un destructivo gusano residente en memoria, reportado el 31 de Marzo del 2005, de propagación masiva a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, usando Asuntos y Contenidos aleatorios, con ingeniería social.

Se propaga además vía la mayoría de redes Peer to Peer y el IRC (Internet Chat Relay).

Crea una variedad de llaves de registro que vulneran la configuración de seguridad del sistema, manipula el archivo HOSTS para impedir el acceso a sitios web relacionados a software de seguridad. Deshabilita la ejecución de programas, procesos y servicios.

Cambia el nombre del equipo, intenta ocasionar ataques DoS a dos importantes sitios web y aleatoriamente apaga el equipo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El mensaje tiene las siguientes características:

Remitente, uno de los siguientes:

Administrator@worldsex.com
owner@xxxceleb.com
Clip@celebporno.com
Admin@fuckcelebrity.com
cought@worldporn.com

Asunto, uno de los siguientes:

Service pack 2 update!
Read this for your own good!:
Service pack 2 bug!
Read! hurry! before it's too late!
Microsoft windows service pack 2 bug!:
Microsoft's worst mistake!
Read this for your PC safety!
Please READ!
Nice!
...HOT!!
Free!
Read it!
Read this TWICE!
Believe it or not!
Oh hell its true!
RATED 21!

Contenido:

Hey buddy,
Check out this new porn clip of Britney Sprers!
Very Short but HOT!!
DOWNLOAD IT and WATCH IT!
Adminstrator
Hello!
Paris Hilton new SEX TAPE has been released!
In the attachment you will find some short quick scenes(HOT!!) that I liked the most!!
Download it! I know its SHORT but at least youve watched the HOTTEST parts of it!
Owner
Hi...
Watch this and tell me what you think!
Download it! Its short but its VERY HOT!
Clip Owner
Hell yeah...it's Pam!
Watch this latest clip of Pamela Anderson!
You will find the clip in the attachment! Enjoy!
Admin
Hi,
Watch Angelina Jolie and Brad Pitt cought on TAPE!
SEXY CLIP! WATCH IT!
Admin and Owner

Anexado: Clip.zip (archivo dropper que libera otros archivos)

Al ser activado se copia a la carpeta %Startup% como SVCHOST-.EXE y con el nombre LSASS al directorio raíz de la unidad C:\

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LSA Shell]
C:\LSASS.exe

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

Al siguiente inicio del equipo terminará cualquiera de los siguientes procesos que estuviesen en ejecución:

i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
ccApp.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
taskmon.exe
wincfg32.exe
outpost.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
dap.exe

Para activarse cada vez que se abra un archivo de texto el gusano configura la siguiente llave:

[HKEY_CURRENT_USER\txtfile\Shell\open\command\@]
C:\LSASS.exe %1

El gusano intentará descargar una copia de sí mismo, con formato .ZIP desde una dirección web cifrada dentro de su código para enviarla a través de mensajes de correo masivo.

y cambiará el nombre de la computadora a "Agent Hacker"

Crea diversa llaves para deshabilitar diversos servicios tales como:

restauración del sistema
Explorador de Windows
Editor del Registro
Notepad
Wordpad
Write.exe
Wuauclt.exe
Wupdmgr.exe
msnmsgr.exe
LUALL.exe
AUPDATE.exe
ALUNOTIFY.exe
DAP.exe
TaskMgr
RegistryTools
Firewall
EnableFirewall
AntiVirusDisableNotify
UpdatesDisableNotify
AUOptions
NoAutoUpdate
Download Accelerator
Etc.

Para propagarse a través de las redes Peer to Peer se copia a todas las carpetas de archivos compartidos con los siguientes nombres:

Paris-Hilton.exe
Britney_porno.exe
PamelaAnderson.exe
wwedivas.exe
Porn_Celeb.exe
parishilton.exe
Sex.exe
Porn.exe
Paris Hilton.exe
PORNO.exe
XXX.exe
Naked WWE Divas.exe
Naked Britney.exe
Naked Celebrity.exe
Celeb uncensord.exe
SUCK.exe
Nude Britney.exe

Para difundirse vía el IRC (Internet Chat Relay) el gusano modifica el SCRIPT.INI del software mIRC en las carpetas C:\mIRC y C:\Archivos de programa\mIRC, e infectará con el archivo Nude Britney.exe a todos los usuarios que se conecten a una misma sesión de Chat.

Esta infección tendrá un efecto multiplicador, la próxima vez que cualquier usuario con su sistema ya infectado se conecte a una nueva sesión.

El gusano manipula el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a a los siguientes portales:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 windowsupdate.microsoft.com

El gusano intentará ocasionar un ataque DoS de Negación de Servicios a los sitios web:

www.windowsupdate.microsoft.com
www.rohitab.com

Finalmente, en forma aleatoria apagará el equipo.

Este gusano crea un archivo .DAT con el siguiente texto:

Don't blame me, Agent Hacker for creating these worms. BLAME www.rohitab.com!

De igual modo agregará archivos de sistema seguidos de mensajes con sentido "soberbio":

%SYSTEM%\firewall.dll with "Agent Hacker rules!"
%SYSTEM%\hal.dll with: "Genes don't contain any record of humain history, you'll NEVER catch me!(Agent Hacker - Bazzi)"
%SYSTEM%\svcpack.dll with a URL

PER ANTIVIRUS® versiones 9.1 y 9.2 con registro de virus al 31 de Marzo del 2005 detectan y eliminan eficientemente este gusano.