|
W32/Hantaner.B, W32.Hanta.B, W32.Handy.B
Hantaner.B es un gusano variante del Hantaner.A, reportado el 30 de Diciembre del 2002 que se propaga entre los usuarios de la red Kazaa y también es descargable de sitios web que se encuentren infectados.
Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000, desarrollado en Borland Delphi 6.0, tiene 24 KB y comprimido con el UPX (Ultimate Packer for eXecutables):
No modifica ni genera ninguna llave de registro, sin embargo consulta las siguientes llaves, con el propósito de obtener las carpetas compartidas tanto de Kazaa, como de Internet Explorer:
[HKCU\Software\Kazaa\Transfer\DownloadDir]
[HKCU\Software\Microsoft\Internet Explorer\Download Directory]
El gusano se se auto-copia a la carpeta C:\archivos de Programa\KaZaa\My Shared Folder y desde la cual infectará a todos los usuarios conectados en una misma sesión de red compartida.
La primera vez que se ejecuta, luego de obtener la ubicación de las carpetas de descarga del IE y de KaZaa, el virus
crea una lista de archivos .EXE contenidos en esas carpetas.
Durante la infección de otros archivos .EXE, se crean dos nuevos archivos en
%Windir%:
%Windir%\Hanta
%Windir%\010101.dat
Ambos archivos .DAT serán eliminados por el propio gusano cuando éste termine su
proceso de infección.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
El gusano además crea un archivo cuyo nombre empieza con la cadena "Joi" (el resto varía). Las letras "Joi" son relacionadas a la palabra "Joiner", un utilitario que permite unir dos o más archivos en uno solo. Este viene a ser el código que se agrega después de la cabecera de los .EXE infectados.
El virus no se mantiene en memoria y se
auto-ejecuta al abrir un archivo infectado, contagiando a otros archivos .EXE
que se encuentren dentro de la carpeta de Kazaa o la de descarga del
Internet Explorer.
Luego termina su acción hasta que otro archivo .EXE sea activado.
En su código se puede leer el siguiente texto: (las letras en azul se
encuentran encriptadas)
| HANTA-Vjoiner ,si que lo hice yo,
ErGrone/GEDZAC... eso va para los seÓoritos de PER, en especial a Machado, que no tiene la educaciÕn necesaria para responder un E-Mail. y para los que se enojaron con CPL, jeje, pa que ocupan Hotmail!!!, teniendo miles de mailbox gratis y con mas espacio. FallÕ la Heuristica y contra una tÊcnica antigua JoJOjOO-Escrito en Delphi 6!- |
Parte del código del texto anterior:
| mov edx, offset aHantaVjoinerSi ; "HANTA-Vjoiner ,si que lo hice yo, ErGro"... call sub_403C40 mov eax, offset unk_505C88 mov edx, offset dword_4093B4 call sub_403C40 mov eax, offset unk_505C88 mov edx, offset aYParaLosQueSeE ; "y para los que se enojaron con CPL, jej"... |
Parte del código que utiliza para obtener el directorio de descargas de Kazaa:
| push eax mov ecx, offset aDownloaddir ; "DownloadDir" mov edx, offset aSoftwareKazaaL ; "Software\\Kazaa\\LocalContent" mov eax, 80000001h call sub_408510 mov edx, [ebp+var_18] mov eax, offset dword_40B848 call sub_403C40 |
Parte del código para obtener el directorio de descargas de Internet Explorer:
| push eax mov ecx, offset aDownloadDirect ; "Download Directory" mov edx, offset aSoftwareMicros ; "Software\\Microsoft\\Internet Explorer" mov eax, 80000001h call sub_408510 mov edx, [ebp+var_1C] mov eax, offset dword_40B848 call sub_403C40 |
Su payload consiste en infectar los archivos con extensión .EXE que son almacenados en la carpeta de Kazaa, así como los de la carpeta de descarga del Internet Explorer, alguno de los cuales pueden quedar dañados.
PER ANTIVIRUS® versión 7.8 con registro de virus al 30 de Diciembre del 2002 detecta y elimina eficientemente este gusano.
