Yaha.R

Yaha.R, gusano de Correo, deshabilita antivirus, firewalls..., causa múltiples efectos nocivos.

Win32/Yaha.R@mm, Lentin.R@mmI-worm.Yaha.R

Yaha.R es la reciente variante de la familia de gusanos Yaha, reportada el 07 de Junio del 2003, de propagación masiva a través mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios con extensiones .EXE o .SCR. Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de diversas fuentes en los sistemas infectados.

Infecta con tan sólo pre-visualizar el mensaje, aprovechando la vulnerabilidad MIME (Multipurpose Internet Mail Extensions) de algunas versiones de Microsoft Outlook, Outlook Express que permiten que el archivo anexado sea ejecutado automáticamente sin necesidad de que el usuario receptor del mensaje lo active, al tener configurada la opción de Vista Previa.

Deshabilita antivirus, firewalls y programas de control. También termina procesos en ejecución del sistema infectado y actúa como backdoor, enviando información al hacker poseedor del software Cliente quien podrá controlar remotamente el sistema.

El gusano además intenta ocasionar una Negación de Servicio (DoS) por saturación, atacando a 5 portales de Pakistán.

Esta especie viral posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo del sistema infectado, capturados de las siguientes fuentes:

Libreta Global de Windows WAB (Windows Address Book).
Cache de .NET Messenger
Cache de MSN Messenger
Listas de Yahoo.
Listas del ICQ.
De todos los archivos con extensión *.HT*

Infecta además vía Redes con recursos compartidos y causa múltiples efectos nocivos.

Es un PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003 Server

Está desarrollado en Visual C++, con una extensión de 50 KB y comprimido con el utilitario FSG:

http://www.exetools.com

Sus mensajes tienen las siguientes características:

Remitente, la dirección de correo es remitida desde el sistema infectado, usando la técnica Email spoofing, que disfraza las de los verdaderos remitentes.

admin@clubjenna.com
admin@codeproject2.com
admin@hackers2.com
admin@hackersclub2.com
admin@kofonline2.com
admin@viruswriters.com
admin@zpornstars.com
av_patch@mcafee.com
av_patch@norton.com
av_patch@trendmicro.com
btq@263.com
caijob@online.sh.cn
cathy@21cn.com
cupid@freescreensavers.com
DNA_seraph@163.com
ericpan@online.com.pk
free@hardcorescreensavers.com
1free@sexyscreensavers.com
free@xxxscreensavers.com
hamada@seikosangyo.com
jenna@jennajameson.com
kkn@k2k.com
kl@aminoprojects.com l
love@lovescreensavers.com
lubing@7135.com
luoairong@21cn.com
marketing@suppersoccer.com
newsletters@britneyspears.org
nics@noma.com
paul@kqscore.com
plus@real.com
ravs@go2pussy.com
romanticscreensavers@love.com
sales@playboy.com
sales@real.com
samsun@online.sh.cn
screensavers@lovers.com
screensavers@nomadic.com
services@tcsonline.com
super@21cn.com
therock@wwe.com
valentinescreensavers@t2k.com
yjworks@online.sh.cn
zdenka@zpornstars.com
zhouyuye@citiz.net

Asuntos, cualquiera de los siguientes:

Are you a Soccer Fan ?
Are you beautiful
Are you the BEST
Check it out
Demo KOF 2002
Feel the fragrance of Love
Freak Out
Free Demo Game
Free rAVs Screensavers
Free Screenavers of Love
Free Screensavers
Free Screensavers 4 U
Free Win32 API source
Free XXX
Hardcore Screensavers 4 U
I Love You..
Jenna 4 U
Learn SQL 4 Free
Lovers Corner
Need money ??
One Hacker's Love
One Virus Writer's Story
Patch for Elkern.gen
Patch for Klez.H
Play KOF 2002 4 Free
Project
Sample KOF 2002
Sample Playboy
Sample Screensavers
Screensavers from Club Jenna
Sexy Screensavers 4 U
The King of KOF
Things to note
Visit us
Wanna be a HE-MAN
Wanna be friends ?
Wanna be like a stone ?
Wanna be my sweetheart ??
Wanna Brawl ??
Wanna Hack ??
Wanna Rumble ??
We want peace
Whats up
Who is your Valentine
World Tour
WWE Screensavers
XXX Screensavers
XXX Screensavers 4 U

Anexados, cualquiera de los siguientes:

BEAUTIFULL.SCR
BODY_BUILDING.SCR
BRITNEY_SAMPLE.SCR
CODEPROJECT.SCR
CUPID.SCR
FIXELKERN.COM
FIXKLEZ.COM
FREAKOUT.EXE
FREE_LOVE_SCREENSAVERS.SCR
HACKER.SCR
HACKER_THE_LOVESTORY.SCR
HARDCORE4FREE.SCR
I_LOVE_YOU.SCR
JENNA_JEMSON.SCR
KING_OF_FIGTHERS.EXE
KOF.EXE
KOF_DEMO.EXE
KOF_FIGHTING.EXE
KOF_SAMPLE.EXE
KOF_THE_GAME.EXE
KOF2002.EXE
LOVE.SCR
MY_SEXY_PIC.SCR
MYPIC.SCR
MYPROFILE.SCR
NOTES.EXE
PEACE.SCR
PLAYBOY.SCR
PLUS2.SCR
PLUS6.SCR
PROJECT.EXE
RAVS.SCR
REAL.SCR
ROMANTIC.SCR
ROMEO_JULIET.SCR
SCREENSAVERS.SCR
SERVICES.SCR
SEX.SCRSOCCER.SCR
SEXY_JENNA.SCR
SQL_4_FREE.SCR
STONE.SCR
SWEETHEART.SCR
THE_BEST.SCR
THEROCK.SCR
UP_LIFE.SCR
VALENTINES_DAY.SCR
VXER_THE_LOVESTORY.SCR
WAYS_TO_EARN_MONEY.EXE
WORLD_TOUR.SCR
XXX4FREE.SCR
ZDENKA.SCR
ZXXX_BROWSER.EXE

Contenidos, cualquiera de los siguientes:

Opción 1
hey,
did u always dreamnt of hacking ur friends hotmail account..
finally i got a hotmail hack from the internet that really works..
ur my best friend thats why sending to u..
check it..just run it..enter victim's address and u will get the pass.

Opción 2
check the attached screensaver..
its really wonder fool..
i got it from freescreensavers.com

Al hacer clic en el archivo, el gusano se auto-copia a la carpeta %Windir% con los nombres mstask32.exe y exeLoader.exe y para activarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]
"MicrosoftServiceManager" = "%System%\wintsk32.exe"

Para ocasionar ataques DoS a 5 portales de Pakistán crea esta llave:

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ZoneCheck]

Genera estas otras llaves que identifican a sus autores:

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Snakes]
"Author" = "R0xx , C0bra , dEviL inCArnATe"

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Snakes]
"Comments" = "This system belongs to the great indians..."

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Snakes]
"Date" %fecha_actual%

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Snakes]
"Version" 2

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Snakes]
"Web" = "http://www.indiansnakes.cjb.net"

El gusano además modificará la siguiente llave, agregando exeLoader.exe con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .EXE.

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\exeLoader.exe "%1" %*

Cambia la página de Inicio de Internet Explorer con la siguiente llave:

[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main]
"Start Page" = "http://www.indiansnakes.cjb.net"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

www.indiansnakes.cjb.net pertenece a un portal de hackers de la India que reta a hacktivistas de Pakistán, países que desde hace muchos años mantienen una relación hostil debido a pugnas políticas.

Al ser activado el gusano deshabilita los procesos de los siguientes antivirus, firewalls y sistemas de control:

_AVP32
_AVPCC
_AVPM
AAAAA
ACKWIN32
ALERTSVC
AMON.EXE
ANTI-TROJAN
ANTIVIR
APVXDWIN
ATRACK
AUTODOWN
AVCONSOL
AVGCTRL
AVKSERV
AVP.EXE
AVP32
AVPCC.EXE
AVPM.EXE
AVSCHED32
AVSYNMGR
AVWUPD32
BLACKD
BLACKICE
CCAPP
CCEVTMGR
CFIADMIN
CFIAUDIT
CFINET
CFINET32
CLEANER
ECENGINE
ESAFE.EXE
ESPWATCH
F-AGNT95
FINDVIRU
F-PROT95
FP-WIN
FRW.EXE
F-STOPW
IAMAPP
IAMSERV.EXE
IBMASN
IBMAVSP
ICMON
IOMON98
LOCKDOWN2000
LOCKDOWNADVANCED
LUALL
LUCOMSERVER
MCAFEE
MOOLIVE
MPFTRAY
MSNMSG32
N32SCANW
NAV32_LOADER
NAVAPSVC
NAVAPW32
NAVLU32
NAVNT
NAVRUNR
NAVW32
NAVWNT
NISSERV
NISUM
NMAIN
NOD32
NORTON
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NUPGRADE
NVC95
PADMIN
PAVSCHED
PCCIOMON
PCCMAIN
PCCWIN98
PCFWALLICON
PERSFW
POP3TRAP
PVIEW
PVIEW95
REGEDIT
RESCUE32
RMVTRJAN
SAFEWEB
SCAM32
SCAN32
SIRC32
SPHINX
SWEEP95
SYMPROXYSVC
SYSHELP.EXE
TBSCAN
TCPSVS32
TDS2-
TDS2-98
TDS2-NT
VET95
VETTRAY
VSECOMR
VSHWIN32
VSSTAT
WEBSCANX
WEBTRAP
WFINDV32
WINGATE.EXE
WINMGM32.EXE
WINRPCSRV.EXE
WINSERVICES
ZONEALARM

Para propagarse a través de Redes el gusano busca el archivo WIN.INI, en los siguientes directorios de unidades de disco con con recursos compartidos:

WINDOWS
WIN98
WIN95
WINNT
WIN
WINME
WINXP

Al hallar cualquiera de estos directorios, el gusano copia el archivo reg32.exe al WIN.INI y le agrega una línea:

WIN.INI
[windows]
run=%Windir%\reg32.exe

También busca en las siguientes rutas de las unidades de Red con recursos compartidos:

Documents and Settings\All Users\Start Menu\
Programas\Startup

Si encuentra cualquiera de estas carpetas, el gusano se autocopia con el nombre de MSRegScanner.exe

En intervalos de segundos, el gusano envía peticiones HTTP a 5 sitios web ubicados en Pakistán, causando una saturación con el propósito de que los servidores se vuelvan lentos o hasta colapsen por una negación de Servicio.

Yaha.R tiene los siguientes payloads:

Se propaga masivamente a través de su propio Servidor de Correo SMTP, extrayendo direcciones de diversas fuentes del sistema infectado y con una variedad de formatos de mensajes.
Emplea direcciones de falsas que encubren al verdadero Remitente (Email Spoofing).
Termina los procesos de antivirus, firewalls y software de seguridad, dejando a los sistemas infectados vulnerables a los virus y a ataques de intrusos.
Termina los procesos de programas en ejecución.
Se propaga a través de unidades de Red con recursos compartidos.
Extrae información del sistema infectado y se la envía al hacker a través de mensajes de correo con direcciones encriptadas dentro de su código viral.
Re-configura la página de Inicio de Internet Explorer hacia un sitio web de hackers de la India.
Intenta saturar 5 portales ubicados en Pakistán, pudiendo ocasionar una negación de Servicio DoS (Denial of Service) a los mismos.
Si el sistema infectado en un servidor con el MS IIS (Internet Information Server) modifica los archivos con extensión HTM o HTML del directorio C:\ y le agrega un enlace al portal de los creadores del gusano.

PER ANTIVIRUS® versión 8.1 con registro de virus al 07 de Junio del 2003 detecta y elimina eficientemente este gusano.