Atak

ATAK, gusano de Correo de propagación masiva consume ancho de banda hace lentos los procesos.

W32/Atak@mm, I-worm.atak@mm

Atak es un gusano reportado el 15 de Julio del 2004, de propagación masiva a través mensajes de correo con Remitentes falsos, diversos Asuntos, Contenidos y archivos Anexados compuestos por una cadena de 3 a 7 caracteres alfabéticos aleatorios, en letras minúsculas y la extensión .ZIP, los mismos que contienen archivos de complejas características.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Visual C++, con una extensión de 15.5 y comprimido con el utilitario FSG:

http://www.exetools.com

Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book), a las contenidas en las carpetas temporales de la memoria Cache y las extraídas de archivos de diversas extensiones.

Sus formatos de correo tienen las siguientes características:

Remitente, usa la técnica Spoofing que disfraza la verdadera dirección de los remitentes empleando cualquiera de los siguientes nombres y el dominio del sistema infectado:

kevin@[dominio_de_sistema_infectado]
huck@[dominio_de_sistema_infectado]
george@[dominio_de_sistema_infectado]
mike@[dominio_de_sistema_infectado]
andrew@[dominio_de_sistema_infectado]
jose@[dominio_de_sistema_infectado]

Asuntos, uno de los siguientes:

[en_blanco]
Read the Result!
Important Data!

Contenido:

[en_blanco]
Authorized Researcher Only.

Anexados, compuesto por una cadena de 3 a 7 caracteres alfabéticos aleatorios, en letras minúsculas, con la extensión .ZIP.

El archivo comprimido en formato .ZIP contiene archivos aleatorios de las siguientes características:

[70_espacios_en_blanco].exe
[70_espacios_en_blanco].com
jpg
gif

Al ejecutar el archivo infectado, se auto-copia a la carpeta %System% con el nombre de hint.exe y crea el mutex "SloperMtx" para evitar activarse en memoria más de una vez.

Para ejecutarse la próxima vez que se inicie el equipos, en sistemas basados en tecnología NT, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"load" = "%System%\hint.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98/Me:

WIN.INI
[windows]
load = %System%\hint.exe

Una vez activado, el gusano revisa todas las unidades de disco y extrae las direcciones de correo dentro de las carpetas temporales y de la memoria Cache, así como de la Libreta de Direcciones de Windows (WAB), usando la librería WAB32.DLL, además de las contenidas en los archivos con las siguientes extensiones:

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de Windows.
También usa las direcciones contenidas en las carpetas temporales del Cache y de archivos con diversas extensiones.
Usa su propio SMTP o un servidor de correo para el envío masivo de mensajes.
Emplea la técnica Spoofing que disfraza la identidad de los Remitentes empleando una realción de nombres a los cuales le agrega el dominio del sistema infectado.
No tiene efectos destructivos pero su alta propagación podría saturar los servidores de correo o volver lentos los procesos de ejecución de los sistemas infectados.

PER ANTIVIRUS® versión 8.7 y 8.8 con registro de virus del 15 de Julio del 2004 detecta y elimina eficientemente este gusano.