AINJO.E, gusano de alta
propagación masiva vía Correo, Kazaa y Chat, satura servidores, etc. |
© Jorge
Machado Lima-Perú |
|
W32/Ainjo.E@mm,
I.worm.Perkasa@mm
Ainjo.E es un gusano
reportado el 24 de Julio del 2003, de alta propagación masiva a través de un
mensaje de correo con Asuntos, Contenidos y
archivos Anexados aleatorios de extensión .ZIP.
También se difunde vía la red Peer to Peer Kazaa
y el IRC (Internet
Chat Relay).
Es un PE (Portable Ejecutable) e infecta
Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado y
compilado en Visual Basic 6.0, con 549 KB de extensión.
Su autor es Iwing,
el webmaster del portal de virus:
http://www.indovirus.net (actualmente
clausurado)
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de
Direcciones de MS Outlook.
El mensaje tienen las siguientes características:
Asunto, uno de los siguientes:
- Re: Web Site Report
- Thank You!
- Free MP3, OGG/VORBIS Hit Songs !!
- Download DVD Movie Now !! Its Free..!
- You are Losing Income
Contenido, uno de los siguientes:
- The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!! Download it Now And Get free Bonus!
- Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out. Save it Now !
- ATTENTION: THIS PROGRAM IS EXPLODING WORLDWIDE. THOUSANDS OF PEOPLE ARE SIGNING UP EVERY DAY CREATING ONE OF THE LARGEST MEMBERSHIP BASES IN THE WORLD!
- Hello!
Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?
Download the attachment now !
Anexado, elegido de alguno de los
siguientes archivos:
- SaveNow.zip
- Report.zip
- FFA.zip
- FreeJoin.zip
Al hacer click en el archivo infectado el
gusano muestra en pantalla un falso mensaje de error y se auto-copia al
directorio %Windir% con los siguientes
nombres:
Así mismo se copia a la disquetera que se
encuentre habilitada y operativa
y para activarse la próxima vez que se inicie el sistema, crea la siguiente
llave de
registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Kernelw" = "%Windir%\Kernelw32.exe"
Para activarse al re-inicio de Windows 95/98/Me,
el gusano modifica el archivo WIN.INI:
WIN.INI
[windows]
load = C:\%Windir%\Kernelw32.exe
Igualmente lo hace con el SYSTEM.INI:
SYSTEM.INI
[boot]
load = C:\%Windir%\Kernelw32.exe
También agrega la siguiente línea al SYSTEM.INI:
[WORM]
Name = I-WORM>PERKASA
Author = Iwing/Indovirus
%Windir% es
una variable que corresponde a C:\Windows en
Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
Para infectar a través de la red Kazaa el gusano libera copias de sí
mismo a su carpeta de archivos compartidos, con los siguientes nombres:
- C:\Archivos de programa\Kazaa\My Shared Folder\XPPatch.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\NUDE7430482Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\AVUPDATE.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\ASIAN568230485Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\NAVUPDATE.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\PIC92124430Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\LIVEUPDATE.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\AMATEURE4981158Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\MCAFEE.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\SEXY50769389Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\PASSWORD.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\Fisting612347221Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\SEXSHOW.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\Preeteens69625457Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\ANTIVIRAL.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\Lolita3830436Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\Fetish57700493Jpg.exe
- C:\Archivos de programa\Kazaa\My Shared Folder\FREE_FIREWALL.EXE
- C:\Archivos de programa\Kazaa\My Shared Folder\Girls887525186Jpg.exe
Para difundirse por el IRC
(Internet Chat Relay)
el gusano sobre-escribe el SCRIPT.INI
del software mIRC
con su código viral en la carpetas C:\mIRC
y C:\Archivos de programa\mIRC. Al
conectarse el usuario a un sesión del Chat, el gusano enviará una copia
infectada de sí mismo con el nombre FREEPIC.ZIP.
Los payloads
de este gusano son:
- Se propaga masivamente en mensajes de correo,
con diversos Asuntos, Contenidos y archivos Anexados, a los buzones de
correo de MS Outlook, haciendo uso
de las librería MAPI.
- Infecta a través de la red Kazaa.
- Si el sistema infectado tiene el software
mIRC, se difundirá a través de cualquier sesión de Chat.
- Su autor es Iwing, el webmaster de un portal
de virus de Indonesia.
- Al conectarse el usuario a Internet, será
direccionado al portal del autor del gusano.
- Intenta saturar Servidores de Correo,
estaciones de trabajo y PC domésticas.
PER ANTIVIRUS® versiones
8.1 y 8.2 con registro de virus al 24 de Julio del 2003 detectan y eliminan eficientemente
este gusano.
