GUSANO

Yaha.E

Índice

Alias: I-Worm.Lentin.G, Lentin.G, Lentin

Yaha.E comenzó a extenderse por diferentes países a finales de junio de 2002. El archivo que contiene el gusano es un Windows PE de unos 27 kb de longitud comprimido con la herramienta UPX y con cadenas de texto reemplazadas por puntos probablemente por el propio autor de este código malicioso.

Normalmente, los archivos infectados por este gusano tienen datos aleatorios al final, la longitud y el contenido de esta área es diferente en cada caso. La mayor parte de las cadenas de texto que contiene Yaha.E se encuentran encriptadas con un algoritmo criptográfico sencillo.

Cuando se ejecuta el archivo portador del gusano sobre un sistema, Yaha.E puede mostrar una caja de texto y/o un video a modo de protector de pantalla que en realidad está ocultando su verdadera actividad.

Por regla general, Yaha.E se copia con un nombre aleatorio en la carpeta C:\Recycler o C:\Recycled. Si estas carpetas no están disponibles en el equipo, lo hará en el directorio de Windows. También creará una entrada de registro que asegure su ejecución cada vez que se inicie el sistema.

Yaha.E refresca continuamente esta entrada para prevenir que sea modificada por el usuario o por utilidades de desinfección. Esta misma rutina intentará suspender los procesos del Administrador de Tareas de Windows.

En el caso de que el gusano se ejecute desde el archivo MSTASKMON.EXE, éste añadirá una cadena de ejecución para este archivo dentro de WIN.INI de modo que se inicie en cada arranque del sistema sin que sea visible en el Administrador de Tareas.

Dentro de un archivo de nombre aleatorio y extensión DLL, Yaha.E almacena la libreta de direcciones de Windows y los contactos que encuentre en los servicios .NET Messenger, Yahoo! Messenger, ICQ, y los archivos HTML, DOC y TXT a los que enviará su mensaje infectado.

En una carpeta temporal, crea un archivo llamado KITKAT que contiene una versión del gusano codificada en Base64 con el fin de evitar su identificación por anti-virus que utilizan CRC para detectar códigos maliciosos.

Aquel archivo diferente de sobre el muestra de tornillo sin fin original como el tornillo sin fin agrega que datos aleatorios a su final (de MASCAN el archivo el que esto genera y luego suprime). La longitud de datos aleatorios el área se diferencia siempre.

Esta técnica, como se suponía, engañaba algunos escáners de anti-virus lo que usan CRC para descubrir malware independiente.Las extensiones de tornillo sin fin se mismas en mensajes electrónicos con diferente sujetan y cuerpos, la rutina de composición de mensaje es realmente compleja.

De manera similar a Klez, las distintas partes que forman el mensaje en el que se difunde se seleccionan de manera aleatoria, si bien, Yaha.E puede incluir o no el exploit Iframe dentro del correo.

El asunto del e-mail infectado puede contener uno de los siguientes textos o una combinación de éstos:

searching for true Love
you care ur friend
Who is ur Best Friend
make ur friend happy
True Love
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worryy
Ur My Best Friend
Say 'I Like You' To ur friend
Easy Way to revel ur love
Wowwwwwwwwwww check it
Send This to everybody u like
Enjoy Romantic life
Let's Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let's Laugh
One Way to Love
Learn How To Love
Are you looking for Love
love speaks from the heart
Enjoy friendship
Shake it baby
Shake ur friends
One Hackers Love
Origin of Friendship
The world of lovers
The world of Friendship
Check ur friends Circle
Friendship
how are you
U r the person?
U realy Want this

También puede formar el asunto tomando 3 o más opciones de las indicadas a continuación encabezadas por el prefijo "Fw:":

Romantic
humour
NewWonderfool
excite
Cool
charming
Idiot
Nice
Bullsh*t
One
Funny
Great
LoveGangs
Shaking
powful
Joke
Interesting
Screensaver
Friendship
Love
relations
stuff
to ur friends
to ur lovers
for you
to see
to check
to watch
to enjoy
to share
:-)
!
!!

El cuerpo del e-mail puede estar formado por alguna de las siguientes cadenas de texto:

Check the attachment
See the attachement
Enjoy the attachement
More details attached
Hi
Check the Attachement ..
See u
Hi
Check the Attachement ..
Attached one Gift for u..
wOW CHECK THIS

La primera extensión puede ser: DOC, MP3, XLS, WAV, TXT, JPG, GIF, DAT, BMP, HTM, MPG, MDB, ZIP. Mientras que la segunda la selecciona entre: PIF, BAT o SCR.

Yaha.E tiene también puede difundirse a través de red. Una de sus rutinas chequea constantemente directorios abiertos de búsqueda y compartidos con los siguientes nombres: WINXP, WINME, WIN, WINNT, WIN95, WIN98 y WINDOWS.

Cuando el gusano encuentra uno de estos directorios, intenta encontrar en él el archivo WIN.INI. Si lo encuentra, se copia como MSTASKMON.EXE dentro de la misma carpeta y modifica el Win.INI sobre el sistema remoto para ejecutarse desde allí en el siguiente reinicio.

A continuación buscará procesos que contengan las siguientes cadenas con el fin de finalizarlos:

PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVCONSOL
AVSYNMGR
VSHWIN32
VSSTAT
NAVAPW32
NAVW32
NMAIN
LUALL
LUCOMSERVER
IAMAPP
ATRACK
NISSERV
RESCUE32
SYMPROXYSVC
NISUM
NAVAPSVC
NAVLU32
NAVRUNR
NAVWNT
PVIEW95
F-STOPW
F-PROT95
PCCWIN98
IOMON98
FP-WIN
NVC95
NORTON
MCAFEE
ANTIVIR
WEBSCANX
SAFEWEB
ICMON
CFINET
CFINET32
AVP.EXE
LOCKDOWN2000
AVP32
ZONEALARM
WINK
SIRC32
SCAM32

De modo que Yaha.E no sólo terminará las tareas correspondientes a productos de seguridad sino también con las rutinas de virus como Klez y Sircam. Dependiendo del sistema operativo, el gusano está programado para realizar diferentes rutinas de aniquilación que no volverá a ejecutarse en el siguiente arranque. Asimismo, los procesos del Administrador de Tareas de Windows también son suspendidos.

Para finalizar, el gusano crea un TXT de nombre aleatorio en el directorio de Windows con el siguiente texto:

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes
bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>


Copyright © VIRUSPROT.COM