YAMA, ALAN-PERU, gusano peruano con connotaciones políticas. 

© Jorge Machado  Lima-Perú

I-Worm.YAMA, ALAN-PERU 

Este es un gusano escrito en Visual Basic Script y Java Script, que se propaga por correo electrónico, sin necesidad de que se ejecute algún archivo anexado.

Haciendo uso de las características de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, bajo el formato HTA (HTML Application de Internet Explorer 5), que es un archivo ejecutable HTML, el cual requiere que se tenga instalado el Windows Scripting Host. 

YAMA o ALAN-PERU únicamente infecta a los sistemas operativos Windows 95/98 que tengan configurado el directorio C:\Windows. Si tuviese otro nombre diferente, como por ejemplo WIN95 o WINDOWS98, no afectará al sistema.   

La técnica empleada por este gusano, es similar a la del virus BubbleBoy, ya que con el simple hecho de leer el mensaje, que por lo general no tiene ningún contenido, lo conectará automáticamente, a través del navegador, hacia el siguiente URL:  

http://orbita.starmedia.com/~yamaperu/yama.gif

Sólo serán afectados los sistemas que tengan activada la opción "Vista previa Automática" de MS Outlook u Outlook Express.

Luego iniciará su proceso de infección, copiándose como yama.hta al directorio:
 
C:\Windows\Start Menu\Programs\StartUp
 
y se establecerá como página inicial de Internet Explorer este URL:
 
http://orbita.starmedia.com/~yamaperu
 
En este sitio web, el autor del virus publica información acerca de la crisis política y económica del PERU, además manifiesta serias críticas y denuncias sobre diversos personajes vinculados al gobierno peruano, así como a candidatos a la presidencia del proceso electoral del 2001.
 
Luego buscará información sobre MS Outlook en el registro de Windows, para asignarlos como firmas por defecto:
 
yamalauncher.htm
yamalauncher.txt
yamalauncher.rtf
 
Y en le caso de MS Outlook Express:

yamalauncher.html

 
Finalmente crea el archivo alan.html en el directorio c:\windows, que se puede ejecutar aleatoriamente mostrando este gráfico:

 

YAMA o ALAN-PERU, tiene además la capacidad de actualizarse como nuevas variantes e instalar un Programa Troyano con el cual se puede monitorear o controlar en forma remota, los equipos infectados.

PER ANTIVIRUS® versión 6.8, con registro de virus al 16 de Marzo del 2001 detecta y elimina eficientemente este virus.  

Ir al menú anterior

Regresar al Portal de PER SYSTEMS