HALLAD, infecta a través de Correo y Chat, borra carpetas de antivirus, etc. 

© Jorge Machado  Lima-Perú

W32/Hallad@mm, I.worm.Hallad

Hallad es un gusano reportado el 24 de Diciembre del 2001, de gran difusión masiva en Internet ya que infecta a través de mensajes de correo o del canal de Chat IRC (Internet Chat Relay)

Este gusano ha sido desarrollado en Visual Basic 6, tiene 80k de extensión y es un clásico archivo con formato PE (Portable Ejecutable), debido a ello infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Una vez más se sospecha que el autor de este gusano, así como del Goner, Zacker, Reeezak, entre otros, es un joven danés que manifiesta llamarse Michael Schmidt, de apenas 15 años. 

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo:

Los mensajes contienen los siguientes Asuntos, Textos y Anexados, en inglés, que son traducidos para mayor explicación. Al parecer, el autor ha empleado una instrucción conocida de "mailmerge" clásica en los procesadores de texto, para invocar (retrieve) el nombre de los destinatarios, las veces que han sido parametrados en el texto del mensaje.  

Asunto : %Nombre del remitente% + " es un millonario"
Adjunto: LucKey.exe
Texto   : " Hola" + %Nombre del destinatario% + "Su Amigo " + %Nombre del remitente%
          + " lo invita a convertirse en millonario" + %Nombre del destinatario% + "y dice : "
          + %Nombre del destinatario% + "Huy...es realmente tremendo. Prueba tu suerte ;)" 
          + %Nombre del destinatario% 
          + " simplemente permita que estos avisos publicitarios se activen y Ud. recibirá 0.25 $ cada 30 minutos"
          + %Nombre del destinatario% + " + "  Wo-finance Team"
(El mensaje original menciona la palabra "lock" (cerradura, candado, etc.) que asumimos debió ser "luck" (suerte).
Hallad se activa únicamente si el usuario que recibe el mensaje infectado abre el archivo anexado.

Una vez producida la infección el gusano se auto-copia en forma casi simultánea a la carpeta C:\Windows\System con el nombre de LUCKEY.EXE y DALLAH.EXE. Luego muestra la siguiente caja de diálogo que no es otra cosa que un mensaje falso utilizado por el gusano para distraer la atención del usuario:

El gusano realiza una búsqueda en todas las carpetas del disco del archivo MIRC.INI, que está relacionado directamente con el SCRIPT.INI en el caso que el usuario con el sistema infectado tenga instalado el software mIRC, para comunicaciones vía Chat. 

Si lo encuentra, lo sobre-escribe e infecta, con la extensión .EXE y envía este nuevo archivo ejecutable a otros usuarios de mIRC que se encuentren conectados en una misma sesión de Chat. Esta infección tendrá un efecto multiplicador, la próxima vez que cualquier usuario con su sistema ya infectado se conecte a una nueva sesión.

El SCRIPT.INI es un archivo de comandos del software mIRC y es capaz de afectar a éste y a cualquiera de los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El payload del gusano Hallad consiste en crear muchos archivos en el directorio actual con los nombres: 
Sharoon *****.exe
Bush *****.exe
ZA-Union *****.exe
BinLadin *****.exe
Los signos ***** representan un número del 1 al 9999. El gusano también borra las siguientes carpetas del disco, que contengan software antivirus y el firewall Zone Alarm: 
\Program Files\AntiViral Toolkit Pro
\Program Files\Command Software\F-PROT95
\eSafe\Protect
\PC-Cillin 95
\PC-Cillin 97
\Program Files\Quick Heal
\Program Files\FWIN32
\Program Files\FindVirus
\Toolkit\FindVirus
\f-macro
\Program Files\McAfee\VirusScan95
\Program Files\Norton AntiVirus
\TBAVW95
\VS95
\rescue
\Program Files\Zone Labs
Finalmente, el gusano crea y ejecuta un archivo script llamado FLOPY.Vbs, que libera otro gusano contenido dentro de su código viral, con el nombre MALAL.EXE hacia cualquier diskette que sea activado en la disquetera. Como consecuencia, creará archivos companions (acompañantes) en todos los archivos de los diskettes que se lean en un sistema infectado, con la extensión original y a la cual le agregará la extensión .EXE. Por ejemplo mitexto.txt.exe, autoexec.bat.exe, etc.

PER ANTIVIRUS® versión 7.2 con registro de virus al 25 de Diciembre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS