Ahcker.J

AHKER.J gusano de Correo descarga DLL de Winsock deshabilita utilidad de Download ejecuta ataque DoS.

W32/Ahker.J@mm, I.worm.Ahker.J@mm

Ahker.J es un gusano reportado el 02 de Septiembre del 2005, de propagación masiva a través de mensajes de Correo con un archivo Message.zip, Remitentes disfrazados bajo la técnica Spoofing, Asuntos y Contenidos aleatorios.

Deshabilita la utilidad de descarga Download Accelerator Plus, descarga un DLL del Winsock de Microsoft Windows de un sitio web de Inglaterra y ejecuta y ataque DoS contínuo a un sitio web de un programador, que alguna vez creó virus.

Infecta solo a Windows 98/Me, está desarrollado en Visual C++, con una extensión de 15.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano captura las direcciones de correo de la carpeta temporal de Internet o de archivos con las siguientes extensiones:

csv
ctl
dhtm
dsp
dsw
eml
fdb
hlp
imb
imh
imm
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
ml
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pmr
pp
rm
xhtml
xls

Los mensajes tienen las siguientes características:

Remitente: peter_parker@hotmail.com
Asunto: Returned mail
Contenido:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial Contenido has been received.
Anexado: Message.Zip
Remitente: mariah_hillary@aol.com
Asunto: Delivery Error
Contenido:
Mail transaction failed. Partial Contenido is available.
Anexado: Message.Zip
Remitente: johnloke@msn.uk
Asunto: Status
Contenido:
The Contenido contains Unicode characters and has been sent as a binary Anexado.
Anexado: Message.Zip
Remitente: bazzi@microsoft.com
Asunto: Server Report
Contenido:
The Contenido contains MIME-encoded graphics and has been sent as a binary Anexado.
Anexado: Message.Zip
Remitente: sarah_alia@yahoo.com
Asunto: Mail Transaction Failed
Contenido:
The Contenido cannot be represented in 7-bit ASCII encoding and has been sent as a binary Anexado.
Anexado: Message.Zip
Remitente: seniormanager@byblos.com
Asunto: Mail Delivery System
Contenido:
Your credit card was charged for $500 USD. For additional information see the Anexado.
Anexado: Message.Zip
Remitente: michel_bado@gmail.com
Asunto: Do not reply to this email!
Contenido:
ESMTP [Secure Mail System #334]: Secure Contenido is attached.
Anexado: Message.Zip
Remitente: otacon@konami.jp
Asunto: Error
Contenido:
Encrypted Contenido is available.
Anexado: Message.Zip
Remitente: majortom@fbi.gov
Asunto: FWD:Hello
Contenido:
You have visited illegal websites!!
I have a big list of the websites you surfed.
Anexado: Message.Zip
Remitente: hilton_britgette@ahker.lb
Asunto: FWD:Hey
Contenido:
Bad Gateway: The Contenido has been attached.
Anexado: Message.Zip
Remitente: billy@hacker.com
Asunto: There you go!
Contenido:
There is the password you requested!
Anexado: Message.Zip
Remitente: agent@hacker.com
Asunto: Password Cracked!
Contenido:
Hotmail Cracker Version 2.25 attached!
Anexado: Message.Zip

Al ser ejecutado se desempaqueta en memoria y libera el archivo Bazzi.exe que copia al directorio %Windir% y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft AntiSpyware" = "%Windir%\Bazzi.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo ejecuta su rutina de envío masivo de mensajes y se conecta un sitio en Internet para descargar un DLL de Microsoft Windows Winsock desde:

http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX

Deshabilita la utilidad de descarga Download Accelerator Plus (DAP) y ejecuta y ataque DoS contínuo a:

http://www.rohitab.com (página personal del programador Rohitab Batra de los Estados Unidos) quien alguna vez fue creador de virus.

PER ANTIVIRUS® versión 9.4 con registro de virus al 02 de Septiembre del 2005 detecta y elimina este gusano.