|
Win32/Yaha.E@MM, Yaha.E@MM I-worm.Yaha.E, Lentin@MM, Winn32/Lentin@MM
Yaha.E, también llamado Lentin, es un gusano reportado el 20 de Junio del 2002, con un múltiples medios de propagación masiva a través del protocolo SMTP (Simple Mail Transfer Protocol) hallado por defecto en el sistema infectado, que se auto-envía usando los buzones de correo la Libreta de Direcciones de Windows, MSN Messenger, la lista de Beepers de Yahoo, la Lista de Direcciones del ICQ, y los nombres encontrados en los archivos *HT.* (HTM, HTML, HTA).
Es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000, programado en Visual C++
De no encontrar un servidor SMTP en el sistema infectado, el gusano trata de usar cualquiera de los servidores SMTP que tengan una de las direcciones IP contenidas en su código viral:
Cabe resaltar, que considera en esta lista al servidor de la Municipalidad de Miraflores de la ciudad de Lima.
Este gusano de 29.2 KB (cuya extensión puede variar) tiene una programación muy sofisticada, ya que para su envío, tanto el Asunto, Contenido y el archivo anexado del mensaje, mediante el cual se propaga, son el resultado de la combinación aleatoria de cualquiera de los nombres y frases contenidas dentro su código:
Remitente:
Usa cualquier nombre obtenido del sistema infectado.
Asunto:
Es elegido en forma aleatoria de cualquiera de estas palabras o frases:
Cuerpos del mensaje:
El gusano compone el cuerpo del mensaje de uno de los 3 siguientes formatos, cada uno de los cuales es abierto y cerrado entre braquetes []. El gusano usa uno de los nombres de la listas obtenidas del sistema infectado. Ejemplo:
1.
2.
[Hi Dear
Check the attach
See u
See the attachement/Enjoy the attachement/More details attached]
3.
[This message was created
automatically by mail delivery software (Exim).
A message that you sent could not be delivered to one or more of its recipients.
This is a permanent error. The following address(es) failed:
h2h@achayans.com
For further assistance, please contact < postmaster ????>
If you do so, please include this problem report. You candelete your own text
from the message returned below.
Copy of your message, including all the headers is attached.]
Al ejecutar el archivo infectado, el gusano se auto-copia como un archivo aleatorio de 4 letras, en el directorio de Windows, bajo estos parámetros:
%nombre_de_archivo%%nombre_de_archivo%.dll
Si el archivo se auto-nombró, por ejemplo, ABCD.EXE, el nuevo nombre del archivo será ABCDABCD.DLL, el cual no es un verdadero DLL, sino que almacenará todas las direcciones que capture del sistema infectado.
Luego modifica la llave del registro de Windows:
[HKEY_CURRENT_USER\exefile\shell\open\command]
(Por defecto)
= %Recycled%\%Filename% "%1" %*
Los símbolos "%" representan al nombre elegido en forma aleatoria y "%1" %*" a la primera y segunda extensión, también aleatoria.
Archivo anexado:
Con doble extensión, la primera elegida de esta lista:
Y la segunda elegida de cualquiera de estas dos:
Luego deshabilitará los siguientes antivirus, Firewalls o sistemas de Seguridad:
También copia el siguiente archivo de texto en el directorio de Windows:
<<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE GFORCE-pAK
shites
bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>>
Yaha.E no tiene un payload destructivo, pero su alto grado de propagación puede saturar servidores de Correo y LAN, pudiendo ocasionar una negación de Servicio DoS (Denial of Service).
PER ANTIVIRUS® versión 7.5 con registro de virus al 20 de Junio del 2002 detecta y elimina eficientemente este gusano.
