Halfint

HALFINT, gusano de alta propagación masiva a través de la red P2P Kazaa.

W32/Halfint, I.worm.Halfint

HALFINT es un gusano reportado el 28 de Abril del 2003, que a pesar de no ocasionar efectos nocivos se propaga masivamente a través de la popular Kazaa, con archivos de diversos atractivos nombres y una vez que infecta un sistema, genera 36 copias de sí mismo en el directorio de archivos compartido del software KaZaA.

Sin embargo nada impediría que este gusano se propague por otros servicios de Internet.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. Ha sido desarrollado en Visual C++ versión 6.0, con una extensión de 14 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Es necesario informar que la situación de las redes de archivos compartidos Peer to Peer acaba de ser favorecida con el reciente pronunciamiento de un Juez Federal de los Angeles, en contra de la Industria Discográfica:

http://news.zdnet.co.uk/story/0,,t269-s2133938,00.html

La red P2P Kazaa es la más popular y conocida. Permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema su software propietario, el mismo que abre en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos a través de las siguientes instrucciones:

telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 40900
Accept-Ranges: bytes
Date: Fri, 12 Jul 2002 08:12:25 GMT
Server: KazaaClient Jul 12 2002 03:12:25
Connection: close
Last-Modified: Wed, 26 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Para infectar esta red, el autor debe tener instalado el software propietario de Kazaa, luego conectarse a este servicio y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando, que asumimos sea ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.)

Una vez ejecutado el gusano, genera 36 copias de sí mismo en las siguientes carpetas:

C:\Archivos de programa\KaZaa\my shared folder\
C:\Archivos de programa\kaZaa lite\my shared folder\
C:\My Downloads\

El gusano no crea ni realiza ninguna clase de modificaciones en el registro de Windows, pero genera los siguientes archivos en las carpetas compartidas de Kazaa, que son copias de sí mismo:

Access Password Recovery (All Versions).exe
Access Password Recovery (All Versions).url
ACE Password Recovery.exe
ACE Password Recovery.url
Age of Empires 2 - Crack.exe
Age of Empires 2 - Crack.url
ARJ Password Recovery.exe
ARJ Password Recovery.url
Britney Spears Nude Special.exe
Britney Spears Nude Special.url
Britney Spears Secret.exe
Britney Spears Secret.url
Britney Spears Special.exe
Britney Spears Special.url
DivX Beta.exe
DivX Beta.url
DivX Secrets.exe
DivX Secrets.url
Excel Password Recovery (All Versions).exe
GTA3 Crack - Good.exe
GTA3 Crack - Good.url
GTA3 Secrets - Good.exe
GTA3 Secrets - Good.url
Half-life Internal Secrets.exe
Half-life Internal Secrets.url
ICQ Banner Remover (All Versions).exe
ICQ Banner Remover (All Versions).url
ICQ Password Recovery - All Versions.exe
ICQ Password Recovery - All Versions.url
KaZaA 2.0 Beta.exe
KaZaA 2.0 Beta.url
KaZaA Spyware Cleaner.exe
KaZaA Spyware Cleaner.url
MIBII Downloader.exe
MIBII Downloader.url
Microsoft Office Key Generator (All Versions).exe
Microsoft Office Key Generator (All Versions).url
Norton Antivirus 2003 Downloader.exe
Norton Antivirus 2003 Downloader.url
Office Password Recovery (All Versions).exe
Office Password Recovery (All Versions).url
PlayStation 2 Emulator Downloader.exe
PlayStation 2 Emulator Downloader.url
Quake 4 Lastest Beta Downloader.exe
Quake 4 Lastest Beta Downloader.url
Warcraft 3 Internal Secrets.exe
Warcraft 3 Internal Secrets.url
Windows (All Versions) Screen Saver Password Recovery.exe
Windows (All Versions) Screen Saver Password Recovery.url
Windows Internal Secrets.exe
Windows Internal Secrets.url
Windows Key Generator (All Versions).exe
Windows Key Generator (All Versions).url
Windows XP Crack (All Versions).exe
Windows XP Crack (All Versions).url
Windows XP Key Generator (All Versions).exe
Windows XP Key Generator (All Versions).url
Windows XP Serial Generator (All Versions).exe
Windows XP Serial Generator (All Versions).url
WinRar 3.0 + Crack.exe
WinRar 3.0 + Crack.url
WinZip 8.0 + Serial.exe
WinZip 8.0 + Serial.url
Word Password Recovery (All Versions).exe
Word Password Recovery (All Versions).url
XBox Emulator Internal Informations.exe
XBox Emulator Internal Informations.url
XBox Emulator Secrets.exe
XBox Emulator Secrets.url
XBox Secrets.exe
XBox Secrets.url

El gusano además reproduce 36 archivos con los nombres de su lista, con la extensión .URL en lugar de .EXE, en esa misma carpeta, los cuales intentan conectarse a dos portales de Brasil, recientemente clausurados:

http://www.avpavp.hpg.com.br
http://www.avpavp.hpg.com.br/update2.html

Sus payloads no destructivos pero sí perniciosos son:

Infecta masivamente vía la rede P2P KaZaa.
Genera 36 copias de sí mismo en la carpeta compartida de Kazaa.
Reproduce 36 archivos con los nombres de los archivos de su lista pero con extensión .URL en lugar de . EXE, en esa misma carpeta.
Intenta conectarse a 2 portales de Brasil (actualmente clausurados).
Nada impediría que pudiese ser propagado por otros servicios de Internet.

PER ANTIVIRUS® versión 8.0 con registro de virus al 28 de Abril del 2003 detecta y elimina eficientemente este gusano.