Yanz

YANZ, gusano de Correo y Peer to Peer alusivo a popular cantante asiática de música POP, etc.

W32/Yanz@mm, I.worm.yanz@mm

Yanz es un gusano reportado el 23 de Noviembre del 2004, de propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

Está relacionado a la bella cantante de música Pop, de Singapur Stefanie Sun, conocida como Yanzi.

También se difunde vía redes locales y de compartimiento de archivos Peer to Peer.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con 102 KB de extensión y no se encuentra comprimido.

El mensaje tiene las siguientes características:

Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a las direcciones de correo del sistema infectado contenidas en las Libretas de Direcciones y en archivos con las siguientes extensiones:

dbx
adb
asp
jsp
rtf
doc
xml
txt
htm
html

Evita enviarse a aquellas que tengan las cadenas de texto:

@google
@norman
@sophos
@symantec
@kaspersky
@pandasoftware
@microsoft

Asunto, uno de los siguientes:

SuN YanZi
Sun-YanZi
Guvenlik
Sun-YanZi Mp3
Free MP3
Love and SuN YanZi
Forever Sun Yanzi

Contenido, uno de los siguientes:

I don't want anything. I want to see Sun YanZi
My Favourite is Sun YanZi.
I want to meet Sun YanZi. I am loving Sun-YanZi Magic.
You must to listen Sun-Yanzi. I am enjoying to listen Sun YanZi.

Adjunto, puede ser uno de extensión .ZIP que contiene una copia ejecutable del gusano, o cualquiera de los siguientes archivos:

SunYanzi
Sun_Yanzi
Sun_Yanzi_Mp3
Love_Sun
Stephan_Yanzi

con una de las extensiones:

Al ser ejecutado el archivo muestra la siguiente falsa caja de diálogo:

Luego crea el mutex "Sun YanZi - forever", para evitar infectar al sistema más de una vez.

Usando el método "store" crea en el directorio %Windir% el archivo YanZi.zip que es una copia de sí mismo con el nombre de Sun YanZi.pif, el cual no se encuentra comprimido.

El gusano crea además un pequeño archivo sun_yanzi.htm, en el directorio activo, mediante el cual escribe la cadena de texto "Sun-Yanzi" y copia al directorio %Windir% dos archivos con codificación Base 64:

sun.sys
sun_yanzi.sys

estos archivos son usados para la propagación masiva de correo del gusano. La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leído normalmente.

Luego el gusano se auto-copia copia a la carpeta %System% con los nombres:

Lsass.exe
Yanzi.exe

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Kernel" = "%System%\Lsasss.exe"

Al siguiente re-inicio, el gusano termina los siguientes procesos:

REGEDIT.EXE
MSCONFIG.EXE

Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, en caso de estar instaladas, y se copia con los siguientes nombres:

Sun YanZi.avi.exe
Sun YanZi.mpg.exe
Sun YanZi.mpeg.exe
Sun YanZi - Shen Qi.exe
Sun YanZi - I am not sad.mp3.exe
Sun YanZi - Leave me alone.mp3.exe
Sun YanZi - forever.mp3.exe
Stephan YanZi.Mp3.exe
Sun-YanZi.mp3.exe

Actuando como Backdoor se conecta al puerto TCP 67 y tiene instrucciones de descargar desde una dirección IP encriptada un archivo ejecutable conteniendo código maligno.

PER ANTIVIRUS® versiones 8.9 y 9.0 con registro de virus al 23 de Noviembre del 2004 detectan y eliminan eficientemente este gusano.