Haras, gusano destructivo de propagación masiva, borra archivos y deshabilita Windows.  

© Jorge Machado  Lima-Perú

Win32/Haras@MM, W32/Sarah@MM, I-worm.Haras

Haras es un gusano reportado el 15 de Agosto del 2002, de propagación masiva vía mensajes de correo,  conteniendo un archivo anexado de nombre Sarah.scr, con 19 KB de extensión, que se auto-envía a través de los contactos de MSN Messenger. Tiene capacidad destructiva ya que borra y trunca archivos, deshabilitando el sistema operativo.

Ha sido desarrollado en Visual Basic 6.0 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

 

Al hacer click en el archivo infectado, el gusano muestra un falso mensaje de error para engañar a los receptores de que éste no se ejecutará: 



Luego el gusano se auto-copia a la siguiente ruta: 

C:\Windows\System\SARAH.SCR 

Luego crea las siguientes llaves de registro para ejecutarse cada vez que se inicie el sistema: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
sarah = "%System%\Sarah.scr"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
sarah = "%System%\Sarah.scr"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a través de MS Outlook y Outlook Express, tomando las direcciones de la Libreta de Contactos de MSN Messenger. Si esta aplicación no se encuentra instalada en el sistema infectado, el gusano no procederá al envío masivo de mensajes y tan solo dirigirá uno a la siguiente dirección:

Sarah700@email.com

En el primer re-inicio, el gusano muestra en pantalla la siguiente caja de diálogo:

 

Luego presenta otra caja de diálogo con el siguiente texto:

 

Al hacer click en el botón "Aceptar", el gusano borrará los archivos contenidos en las carpetas de primer nivel del directorio raíz, luego borrará algunos programas de C:\Windows y de la carpeta Archivos de programa.

Las carpetas de Primer Nivel de la raíz, equivalen a los Directorios de C:\ y las de segundo y sub-siguientes niveles corresponden a los sub-directorios.  

También modificará los siguientes archivos, borrando su contenido y reemplazándolo con el texto "Sarah": 

C:\COMMAND.COM 
C:\MSDOS.SYS 
C:\CONFIG.SYS 
C:\AUTOEXEC.BAT 
C:\IO.SYS 
C:\CONFIG.JPS 
C:\CONFIG.BAK 
C:\AUTOEXEC.BAK 
C:\SCANDISK.LOG 
C:\MSDOS.nam 
C:\MSDOS.til 
C:\COMPATID.TXT 

Esta rutina destructiva deshabilitará el sistema e impedirá que pueda ser re-iniciado, emitiendo este mensaje:

 

En resumen, además de propagarse masivamente, el gusano Haras tiene un payload destructivo que borra todos los archivos de las carpetas de primer nivel del directorio raíz y modifica archivos críticos, incluyendo los del directorio de Windows, deshabilitando al sistema operativo, el mismo que deberá ser re-instalado, así como todos aquellas aplicaciones correspondientes a la carpeta Archivos de Programas.

PER ANTIVIRUS® versión 7.6 con registro de virus al 15 de Agosto del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS