W32/Sanker, I.worm.Sanker 

SANKER es un gusano reportado el 23 de Enero del 2004, que se propaga masivamente entre los usuarios de la red Kazaa, con archivos de diferentes nombres y a través de canales del IRC (Internet Chat Relay). Sobre-escribe un archivo del sistema, borra archivos de los antivirus Norton y McAfee, deshabilita el mouse, teclado y cambia la fecha del sistema.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. Ha sido desarrollado en Visual C++ con una extensión de 27 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net 

Al infectar un sistema el gusano se sobre-escribe al directorio %Windir% con el nombre de Rundll32.exe, que es un archivo del sistema y agrega la siguiente llave de registro para activarse en el siguiente reinicio del equipo:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll32"="%Windir%\rundll32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

Sin embargo debido a un error de programación en la invocación al directorio %Windir% esta llave funciona irregularmente, fallando la mayoría de las veces.  

Una vez ejecutado el gusano se auto-copia a las siguientes carpetas, con los nombres:

C:\Archivos de programa\Kazaa\my shared folder\bf1942 keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\bf1942 road to rome keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\bf1942 secret weapons keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\counter strike keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\ea-games keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\girls.jpg.exe 
C:\Archivos de programa\Kazaa\my shared folder\half-life keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\hotmail hack.exe 
C:\Archivos de programa\Kazaa\my shared folder\hotmailhack.exe
C:\Archivos de programa\Kazaa\my shared folder\kazaa pluse.exe
C:\Archivos de programa\Kazaa\my shared folder\love.jpg.exe 
C:\Archivos de programa\Kazaa\my shared folder\microsoft keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\mohaa crack.exe 
C:\Archivos de programa\Kazaa\my shared folder\Nortons2004 keygen.exe 
C:\Archivos de programa\Kazaa\my shared folder\porn pics.jpg.exe 
C:\Archivos de programa\Kazaa\my shared folder\porn.jpg.exe 
C:\Archivos de programa\Kazaa\my shared folder\sex.jpg.exe 
C:\Archivos de programa\Kazaa\my shared folder\unreal tournament keygen.exe 
C:\Mirc\Mypic.exe 
C:\Archivos de programa\Mirc\Mypic.exe 
C:\Pirch98\Mypic.exe 
C:\Archivos de programa\Pirch98\Mypic.exe

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre escribe estos archivos en las rutas:

C:\Mirc\Script.ini 
C:\Archivos de programa\Mirc\Script.ini 
C:\Pirch98\events.ini 
C:\Archivos de programa\Pirch98\events.ini

Busca en las unidades de disco y borra los siguientes archivos de los antivirus Norton y McAfee:

C:\Archivos de programa\Norton\*.cnt 
C:\Archivos de programa\Mcafee\*.hlp 
C:\Archivos de programa\Mcafee\*.exe 
C:\Archivos de programa\Mcafee\*.def 
C:\Archivos de programa\Mcafee\*.ini 
C:\Archivos de programa\Mcafee\*.txt 
C:\Archivos de programa\Mcafee\*.dat 
C:\Archivos de programa\Mcafee\*.log 
C:\Archivos de programa\Mcafee\*.reg 
C:\Archivos de programa\Mcafee\*.dll 
C:\Archivos de programa\Norton~1\Norton~1\Norton~3\*.reg 
C:\Archivos de programa\Norton~1\Norton~1\Norton~3\*.txt 
C:\Archivos de programa\Norton~1\Norton~1\Norton~3\*.hlp 
C:\Archivos de programa\Norton~1\Norton~1\Norton~3\*.dll 
C:\Archivos de programa\Norton~1\Norton~1\Norton~3\*.exe 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.isu 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.hlp 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.cnt 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.dat 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.ulg 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.ini 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.exe 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.txt 
C:\Archivos de programa\Norton~1\Norton~1\speedd~1\*.dll 
C:\Archivos de programa\Norton~1\Norton~1\*.cnt 
C:\Archivos de programa\Norton~1\Norton~1\*.hlp 
C:\Archivos de programa\Norton~1\Norton~1\*.exe 
C:\Archivos de programa\Norton~1\Norton~1\*.def 
C:\Archivos de programa\Norton~1\Norton~1\*.ini 
C:\Archivos de programa\Norton~1\Norton~1\*.txt 
C:\Archivos de programa\Norton~1\Norton~1\*.dat 
C:\Archivos de programa\Norton~1\Norton~1\*.log 
C:\Archivos de programa\Norton~1\Norton~1\*.reg 
C:\Archivos de programa\Norton~1\Norton~1\*.dll 
C:\Archivos de programa\Norton~1\*.log 
C:\Archivos de programa\Norton~1\*.idx 
C:\Archivos de programa\Norton~1\*.ini 
C:\Archivos de programa\Norton~1\*.hlp 
C:\Archivos de programa\Norton~1\*.orgt 
C:\Archivos de programa\Norton~1\*.dll 
C:\Archivos de programa\Norton~1\*.exe 
C:\Archivos de programa\Norton~1\*.dat

Finalmente cambia la fecha del sistema al 1o de Enero del 2099 y deshabilita el teclado y el mouse.

Sus payloads son destructivos:

• Infecta masivamente vía KaZaa con diferentes nombres de archivos. 
• Para activarse cada vez que se re-inicie el sistema genera una llave de Registro, la cual tiene errores de programación y funciona en forma irregular.
• Para infectar vía el IRC sobre-escribe archivos de los software de Chat mIRC y pIRCH 98
• Borra archivos de los antivirus de Symantec y McAfee.
• Cambia la fecha del sistema.
• Deshabilita el teclado y el mouse.

PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 23 de Enero del 2004 detecta y elimina este gusano.