Yalove

YALOVE gusano de HTTP y Yahoo Messenger termina procesos de antivirus, deshabilita programas del sistema, etc.

W32/Yalove

Yalove es un gusano residente en memoria reportado el 1o de Diciembre del 2006 que se propaga por Yahoo Messenger, descarga además archivos infectados desde un portal web (que se encuentra a la venta).

Termina procesos de antivirus, firewalls y software de control, deshabilita el Editor de Registros y el Administrador de Tareas de Windows, cambia la configuración de Inicio de Yahoo Messenger e Internet Explorer, se conecta a un portal desde els cual descarga archivos infectados.

Crea una llave que no permite restablecer fácilmente las llaves previamente generadas.

Es un PE (Portable Ejecutable) infecta Windows 95/98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 176KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia al directorio %System% cmo svhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:

[[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BkavF" = "%System%\svhost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para modificarla configuración de Yahoo Instant Messenger crea las llaves:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz]
"content url" = "http://clip24h.com"

el portal clip24h.com se encuentra ubicado en Arizona (USA).

para deshabilitar el Editor de Registros crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar el Administrador de Tareas crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

para cambiar la página de Inicio por defecto del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"content url" = "http://clip24h.com"

para evitar la modificación manual de la página de inicio alterada, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"

al siguiente inicio del equipo el gusano termina los procesos de los siguientes software de seguridad:

ANTS.exe
ATCON.exe
ATUPDATER.exe
ATWATCH.exe
AUPDATE.exe
AUTODOWN.exe
AUTOTRACE.exe
AUTOUPDATE.exe
AVP.exe
AVP32.exe
AVPUPD.exe
AVWUPD32.exe
AVXQUAR.exe
Anti-Trojan.exe
Avconsol.exe
Avsynmgr.exe
Bkav2006.exe
CMGrdian.exe
GUARD.exe
ICLOAD95.exe
ICLOADNT.exe
ICMON.exe
ICSSUPPNT.exe
ICSUPP95.exe
ICSUPPNT.exe
LUCOMSERVER.exe
MCAGENT.exe
MINILOG.exe
MOOLIVE.exe
NAVAPW32.exe
NMAIN.exe
NPROTECT.exe
NSCHED32.exe
NUPGRADE.exe
RuLaunch.exe
VsStat.exe
Vshwin32.exe
apvxdwin.exe
avpcc.exe
avpm.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bkav2006.exe
drwebupw.exe
iamapp.exe
iamserv.exe
mcupdate.exe
regedit.exe
regedt32.exe
rtvscan.exe
svhost32.exe
vsserv.exe
zatutor.exe
zonealarm.exe

luego se propaga por el Yahoo Messenger enviando mensajes a la lista de contactos del usuario, con enlaces a archivos infectados.

Finalmente descarga un archivo infectado del siguiente portal:

http://www.bitsourceinteractive.com/portal/media/cli[censurado]

El dominio sourceinteractive.com, presumiblemente ha sido crackeado, ya que se encuentra en venta por BuyDomains.com

PER ANTIVIRUS® versión 9.9 con registro de virus al 1o de Diciembre del 2006 detecta y elimina este gusano.