|
MAAX, gusano destructivo infecta vía Correo y redes P2P deshabilita
antivirus firewalls, formatea discos.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Maax@mm,
W32/Axam@mm, I-worm.maax@mm
Maax es
un gusano destructivo reportado el 11 de Febrero del 2003, de propagación masiva
a través de mensajes de correo con diversos Asuntos,
destinatario personalizado y con un archivo anexado de
nombre Tca.exe.
Se difunde además por las redes Peer to Peer Kazaa, BearShare,
eDonkey, Morpheus,
Grokster
y LimeWire.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/XP
Está desarrollado en Visual
Basic 6, con una extensión de
11.5 KB y comprimido con el UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Haciendo uso de las funciones de las librerías MAPI
(Messaging
Application Programming Interface)
se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS
Outlook.
Asunto, uno de las siguientes frases:
- IMPORTANT DISCUSSION!
- NICE TO MEET YOU!
- Hello man!
- Hi! ;)
- Good Idea For ya!
- DAA Holding have an Idea for Bussiness man
- Great Job for Professional Programmer
- Trade and Care about customer!
- Don't missed Logon to DAABussiness.com
- Are you a Bussiness man?
- How to make a money in one day?
- Care to trade world map?
- How to prevent from Pirate CD!
- Job for you!
- Do you have an enough salaries for you job?
- Don't waste you money!
- Hey, how are you?
- Who's should be attacked first?
- No More Blood!
- HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
El Contenido es siempre el mismo, pero
con el nombre personalizado del destinatario.
Al ejecutar el archivo anexado el gusano se
copia a las carpetas %Startup% y %Windir%
con el siguiente nombre:
%Startup%\Axam.exe
%Windir%\Axam.exe
Para ejecutarse la próxima vez que se inicie
el sistema el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
sysaxam32 = "%Windir%\Axam.exe"
%Startup%
es una variable que corresponde a C:\Windows\Menú
Inicio\Inicio en
Windows 95/98/Me/XP y a C:\Documents and
Settings\carpeta_del_usuario\Menú Inicio\Inicio en Windows NT\2000\XP.
%Windir% es
una variable que corresponde a C:\Windows en
Windows 95/98/Me/XP y C:\Winnt en Windows
NT\2000\XP.
Una vez activado, el gusano intenta terminar
con los procesos de los siguientes antivirus, firewalls o programas de monitoreo
que se encuentren instalados en el sistema infectado:
- _Avp32.exe
- _Avpcc.exe
- _Avpm.exe
- Ackwin32.exe
- Anti-Trojan.exe
- Apvxdwin.exe
- Autodown.exe
- Avconsol.exe
- Ave32.exe
- Avgctrl.exe
- Avkserv.exe
- Avnt.exe
- Avp.exe
- Avp32.exe
- Avpcc.exe
- Avpdos32.exe
- Avpm.exe
- Avptc32.exe
- Avpupd.exe
- Avsched32.exe
- Avwin95.exe
- Avwupd32.exe
- Blackd.exe
- Blackice.exe
- ccApp.exe
- Cfiadmin.exe
- Cfiaudit.exe
- Cfinet.exe
- Cfinet32.exe
- Claw95.exe
- Claw95cf.exe
- Cleaner.exe
- Cleaner3.exe
- Cmd.exe
- Command.com
- Dvp95.exe
- Dvp95_0.exe
- Ecengine.exe
- Esafe.exe
- Espwatch.exe
- F-Agnt95.exe
- Findviru.exe
- Fprot.exe
- F-Prot.exe
- F-Prot95.exe
- Fp-Win.exe
- Frw.exe
- F-Stopw.exe
- HH.exe
- Iamapp.exe
- Iamserv.exe
- Ibmasn.exe
- Ibmavsp.exe
- Icload95.exe
- Icloadnt.exe
- Icmon.exe
- Icsupp95.exe
- Icsuppnt.exe
- Iface.exe
- Iomon98.exe
- Jedi.exe
- Lockdown2000.exe
- Lookout.exe
- Luall.exe
- Moolive.exe
- Mpftray.exe
- N32scanw.exe
- Navapw32.exe
- Navlu32.exe
- Navnt.exe
- Navw32.exe
- Navwnt.exe
- Nisum.exe
- Nmain.exe
- Normist.exe
- Nupgrade.exe
- Nvc95.exe
- Outpost.exe
- Padmin.exe
- Pavcl.exe
- Pavsched.exe
- Pavw.exe
- Pccwin98.exe
- Pcfwallicon.exe
- Persfw.exe
- Rav7.exe
- Rav7win.exe
- Regedit.com
- Regedit.exe
- Rescue.exe
- Safeweb.exe
- Scan32.exe
- Scan95.exe
- Scanpm.exe
- Scrscan.exe
- Serv95.exe
- Smc.exe
- Sphinx.exe
- Sweep95.exe
- Tbscan.exe
- Tds2-98.exe
- Tds2-Nt.exe
- VControl.exe
- Vet95.exe
- Vettray.exe
- Vscan40.exe
- Vsecomr.exe
- Vshwin32.exe
- Vsstat.exe
- Webscanx.exe
- Wfindv32.exe
- Zonealarm.exe
Para infectar las redes P2P
se auto-copia con los siguientes nombres a estas rutas:
- C:\Program Files\KMD\My Shared Folder\Axam.exe
- C:\Program Files\Kazaa\My Shared Folder\Invisible_man.exe
- C:\Program Files\KaZaA Lite\My Shared Folder\AjeedNASA.exe
- C:\Program Files\Morpheus\My Shared Folder\Blaster.exe
- C:\Program Files\Grokster\My Grokster\XXX_HOTSEX.exe
- C:\Program Files\BearShare\Shared\Fxbgbear.exe
- C:\Program Files\Edonkey2000\Incoming\Setup_flash.exe
- C:\Program Files\limewire\Shared\Super Mario.exe
Cambia el valor "exefile"
por "Spitmaxa" en la siguiente llave
de registro para infectar cada vez que un archivo
ejecutable es activado:
[HKEY_CLASSES_ROOT\.exe]
Logrando este resultado:
[HKEY_CLASSES_ROOT\Spitmaxa]
Modifica el AUTOEXEC.BAT
y la próxima vez que se inicie Windows 95/98/Me, formatea los discos C: y
D:
Finalmente muestra esta caja de diálogo:
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de
correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
- Deshabilita antivirus, firewalls y programas
de seguridad y control.
- Se difunde además vía las más populares
redes Peer to Peer.
- Infecta cada vez que se activa un archivo
ejecutable.
- Modifica el AUTOEXEC.BAT y formatea los
discos C: y D:
PER ANTIVIRUS®
versión 7.9 con registro de virus al 11 de Febrero del
2003 detecta y elimina
eficientemente este gusano.
