Sahay

SAHAY, gusano destructivo, infecta masivamente vía Correo, trunca archivos .EXE, inutiliza el sistema.

W32/Sahay@mm, VBS/Sahay@mm, I-worm.sahay@mm

SAHAY es un gusano destructivo, reportado el 20 de Enero del 2003, de propagación masiva vía mensajes de correo, con un archivo anexado de nombre MathMagic.scr, con contiene una rutina eliminadora de las variantes del virus Yaha.K o Lentin. Trunca los archivos con extensión .EXE del directorio de Windows y de la carpeta de descarga del software mIRC.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Está desarrollado en Visual C++ 6.0, con una extensión de 32 KB y comprimido con el utilitario PECompact:

http://www.collakesoftware.com

Al ejecutar el archivo anexado el gusano se auto-copia con los siguientes nombres a:

C:\MATHMAGIC.SCR
%System%\YAHASUX.EXE
%Windir%\YAHASUX.VBS

C:\ es el directorio raíz del disco para todos los sistemas operativos.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = %System%\yahasux.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = %Windir%\yahasux.vbs

Yahasux.vbs manipula las librerías MAPI (Messaging Application Programming Interface) y se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Una de sus acciones consiste en detectar cualquier variante de la familia de gusanos Yaha y si la encuentra, procede a borrar los archivos infectados, auque no siempre en forma eficiente, para luego mostrar este mensaje:

Exchange viruses?

Hi there.. it seems you were infected with Yaha.k.
That worm however, written by an idiot who sPeLlS
lIkE tHiS,abused my website and got me toreceive
the complaints. Therefore, I have just disinfected
you.Don't worry tho.. as I didn't wanna steal from
you, I gave you this virus (Win32.HLLP.YahaSux) in
return :)

Greetz,
Gigabyte [Metaphase VX Team]

Después de mostrado el mensaje, el sistema se re-inicia automáticamente.

Luego el gusano se adhiere a la cabecera de de todos los archivos .EXE del directorio %Windir% y de la carpeta del mIRC C:\Archivos de programa\Mirc\download, logrando truncarlos, con lo cual dejará inutilizable el sistema operativo.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Busca la presencia del gusano Yaha o sus variantes y de hallarlo procede a eliminarlo.
Si esta rutina tiene éxito, muestra un mensaje en pantalla y re-inicia el sistema.
Se adhiere a la cabecera de los archivos .EXE del directorio de Windows y de la carpeta de descarga del software mIRC.
Deja inutilizable el sistema operativo.

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 20 de Enero del 2003 detectan y eliminan eficientemente este gusano.