W32.Astef, I.worm.Astef, Worm/Bloodhound.W32.5

Astef es un nocivo gusano reportado el 29 de Agosto del 2003, de alta propagación masiva a través de las Redes con recursos compartidos Peer to Peer KaZaA, KaZaA Lite, Bearshare, eDonkey2000, Gnucleus, Grokster, Limewire, Morpheus,  Overnet, Papigator, Shareaza, Tesla, WinMX, XoloX y el ICQ.  Al infectar un sistema renombra varios programas e importantes archivos del sistema operativo, luego se auto-copia con el nombre original de los archivos renombrados.

Deshabilita además dos opciones en el sistema operativo e impide visualizar archivos ocultos y del sistema.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 108 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al ejecutar el archivo infectado, el gusano renombra los siguientes archivos:

• %Windir%\calc.exe a %System%\calc.com
• %Windir%\notepad.exe a %System%\notepad.com
• %Windir%\sol.exe a %System%\sol.com
• %Windir%\freecell.exe a %System%\freecell.com
• C:\Archivos de programas\Trillian\trillian.exe a C:\Archivos de programas\Trillian\trillian.com
• C:\Archivos de programas\MSN Messenger\msnmsgr.exe a C:\Archivos de programas\MSN Messenger\msnmsgr.com
• C:\Archivos de programas\ICQ\icq.exe a C:\Archivos de programas\ICQ\icq.com

Luego, se auto-copia a los siguientes directorios con los nombres:

• %Windir%\calc.exe
• %Windir%\notepad.exe
• %Windir%\sol.exe
• %Windir%\freecell.exe
• %Windir%\ocx32.exe
• %Windir%\svchost.exe
• %Windir%\windll32.exe
• %Windir%\windows_critical_update.exe
• %Windir%\windowsupdate.exe
• C:\Archivos de programas\Trillian\trillian.exe
• C:\Archivos de programas\MSN Messenger\msnmsgr.exe
• C:\Archivos de programas\ICQ\icq.exe

Para activarse la próxima vez que se inicie el sistema, el gusano crea las siguientes llaves de registro: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsCriticalUpdate"="%Windir%\windows_critical_update.exe"
"WIndowsUpdate"="svchost.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"windll"="%Windir%\windll32.exe"
"ocx32"="%Windir%\ocx32.exe"
"microsoft"="%Windir%\svchost.exe"

Luego, el gusano crea el archivo de texto %System%\Driversys.dat en donde almacena información de los usuarios y del equipo infectado.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para asegurar su propagación vía Kazaa y Grokster, el gusano agrega los siguiente valores a las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"DisableSharing"=dword:00000000

[HKEY_CURRENT_USER\Software\Grokster\LocalContent]
"DisableSharing"=dword:00000000

Luego, deshabilita dos opciones en el sistema operativo e impide visualizar archivos ocultos y del sistema, para ello modifica las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=0
"ShowSuperHidden"=0

Para infectar vía las redes Peer to Peer, se auto-copia a las siguientes carpetas:

• \Kazaa\my shared folder
• \Kazaa Lite\my shared folder
• \Kazaa Lite K++\my shared folder
• \Kmd\my shared folder
• \Grokster\my grokster
• \Bearshare\shared
• \Edonkey2000\incoming
• \Morpheus\my shared folder
• \Limewire\shared
• \Winmx\shared
• \Rapigator\Share
• \XoloX\Downloads
• \Tesla\Files
• \WinMX\My Shared Folder
• \Shareaza\Downloads
• \Gnucleus\Downloads
• \ICQ\Shared Folder
• \Overnet\incoming
• C:\my shared folder
• C:\My Downloads

Con los nombres de archivos:

• HotMail Hack.exe
• AIM & AOL Password Hacker.exe
• Mircosoft CD Key Generator.exe
• PornStar3D.exe
• Spy Toolz.exe
• XBOX-BootDVD+Instructions.exe
• Sony PlayStation Hack Boot Disk (No MOD Chip Needed)-Working.exe
• simsonline(money-cheat)-WORKS.exe
• Super Sex Games.exe
• Etc.