W32/AJJA, I-worm.ajja

Ajja es un gusano nocivo, reportado el 06 de Marzo del 2003, de propagación masiva, a través de las redes Peer to Peer Kazaa, Grokster y eDonkey, además de unidades de red con archivos compartidos. Borra antivirus dejando a los sistemas vulnerables a las infecciones virales. 

Al parecer, ha sido desarrollado por un conocido creador de virus de origen chileno, pero la muestra fue enviada desde España (+1 GMT) por un miembro de este grupo de hackers.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual Basic 6.0 y tiene una extensión de 24 KB.

Al ejecutar el archivo infectado muestra la siguiente caja de diálogo que sugiere al usuario instalar un programa:

Al hacer clic en "Next" el gusano se auto-copia a las siguientes carpetas con estos nombres de archivos:

• C:\Archivos de programa\KaZaA\My Shared Folder\Porto_seguro_video.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\Festival de via_2003.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\Hots pics of britney.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\Chile.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\Windows XP complete + serial.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\All programs all cracks.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\Screen saver christina aguilera.exe
• C:\Archivos de programa\KaZaA\My Shared Folder\Screen saver christina aguilera naked.exe
• C:\Archivos de programa\Grokster\My Grokster\Crack all.exe
• C:\Archivos de programa\Grokster\My Grokster\Visual basic 6.exe
• C:\Archivos de programa\Grokster\My Grokster\Chile.exe
• C:\Archivos de programa\Grokster\My Grokster\Starcraft serial.exe
• C:\Archivos de programa\Grokster\My Grokster\Visual basic 6 crack.exe
• C:\Archivos de programa\Grokster\My Grokster\Crack for porno programs.exe
• C:\Archivos de programa\Grokster\My Grokster\All acces porn.exe
• C:\Archivos de programa\Edonkey2000\Incoming\Per 60 crack.exe
• C:\Archivos de programa\Edonkey2000\Incoming\PER 60.exe
• C:\Archivos de programa\Edonkey2000\Incoming\Msn all versions.exe
• C:\Archivos de programa\Edonkey2000\Incoming\Pak of porn gif.exe

Luego crea el archivo Ini.bat en la unidad C: y al ejecutarlo el gusano genera 10 carpetas con nombres aleatorios en la unidad C:, aunque tanto el archivo .bat como las carpetas generadas son inocuas.

Después se auto-copia en las siguientes carpetas con estos nombres:

• C:\Windows\Rilk-Tester.exe
• C:\Windows\Detection.exe
• C:\Windows\Screensaver.exe
• C:\Windows\Msn.exe
• C:\Windows\Antivirus.exe
• C:\Windows\Command\Rilk.exe

Debido a errores en su programación (bugs), este procedimeinto no funciona en Windows NT/2000.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"rilk" = "%Windows%\rilk-tester.exe"
"Power of BAT" = "C:\ini.bat"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"chile" = "%Windows%\detection.exe"

Al activarse el gusano, intenta borrar los siguientes antivirus que encuentre instalados en el sistema: 

• C:\AntiViral Toolkit Pro\*.*
• C:\Program Files\Command Software\F-PROT95\*.*
• C:\Program Files\McAfee\VirusScan\*.*
• C:\Program Files\Norton AntiVirus\*.*
• C:\Toolkit\FindVirus\*.*
• C:\PC-Cillin 95\*.*
• C:\PC-Cillin 97\*.*
• C:\Tbavw95\*.*
• C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• C:\Program Files\Sophos SWEEP for NT\*.*
• C:\Program Files\Panda Software\Panda Antivirus Titanium\*.*
• C:\Program Files\Eset\*.*
• C:\Program Files\Grisoft\AVG6\*.*
• C:\Program Files\Vexira\*.*
• C:\Archivos de Programa\Trend PC-cillin 98\*.*
• C:\Archivos de Programa\Trend Micro\PC-cillin 2002\*.*
• C:\Archivos de Programa\McAfee\McAfee VirusScan\*.*
• C:\Archivos de Programa\Perav\*.*

Sus payloads son los siguientes:

• Se propaga masivamente a través de las redes Peer to Peer Kazaa, Grokster y eDonkey.
• Infecta las unidades de Red con archivos compartidos.
• Borra los principales antivirus. 

PER ANTIVIRUS® versión 7.9 con registro de virus al 06 de Marzo del 2003 detecta y elimina eficientemente este gusano. 

Nota: existe una diferencia de 6 horas entre Perú (-5 GMT) y España (+1 GMT)