|
VSantivirus No. 999 - Año 7 - Miércoles 2 de abril de 2003
W32/Sahay.C. Gusano e infector. Adjunto: "MathMagic.scr"
http://www.vsantivirus.com/sahay-c.htm
Nombre: W32/Sahay.C (W32/MathMagic.C)
Tipo: Gusano de Internet
Alias: PE_SAHAY.C, W32/Sahay.worm.c, I-Worm.Sahay.c, W32.Sahay.C@mm, Win32/Sahay.C@mm, Win32/Sahay.C.Worm, Win32.Sahay.C, W32/MathMagic.C
Fecha: 31/mar/03
Tamaño: 36,864 bytes, 32,768 bytes
Plataforma: Windows 32-bit
Se trata de otra variante del W32/Sahay.A, gusano e infector de archivos al mismo tiempo, con capacidad de envío masivo a través de Internet.
El gusano está escrito en Visual C++ y comprimido con la utilidad PE Compact.
Cuando se ejecuta el archivo que lo propaga (un "dropper"), el gusano se copia en el raíz de la unidad C:
c:\MathMagic.scr
Para reenviarse a través de Internet vía correo electrónico, este gusano utiliza direcciones extraídas de la libreta de direcciones de Windows (Windows Adress Book, WAB).
El mensaje que utiliza tiene estas características:
Asunto: Fw: Sit back and be surprised..
Datos adjuntos: MathMagic.scr (32,768 bytes)
Texto del mensaje:
Think of a number between 1 and 52.
Say it out loud, and keep repeating while you read on.
Think of the name of someone you know (of the opposite
sex). Now count which place in the alphabet, the second
letter of that name has. Add that number to the number
you were thinking of. Say the number out loud 3 times.
Now count which place in the alphabet the first letter
of your first name has, and substract that number from
the one you just had. Say it out loud 3 times. Now sit
back, watch the attached slide show, and be surprised.
El adjunto se copia como vimos, en el directorio raíz de la unidad actual, y además en la carpeta de temporales de Windows, las dos veces con el nombre "MathMagic.scr":
C:\MathMagic.scr
C:\Windows\TEMP\MathMagic.scr
También crea y ejecuta el siguiente archivo, el cuál se encargará de la rutina de envío de mensajes:
C:\Windows\Yahasux.vbs
Este script selecciona direcciones al azar de la libreta de Windows, y procede a enviar mensajes como el arriba descripto. Luego del envío, este archivo es borrado.
Además de su capacidad de propagarse, esta versión infecta todos los archivos con extensión .EXE encontrados en la carpeta actual (donde se ejecuta el gusano), y en "C:\Program Files\mIRC\download". Un error en su código hace que esta acción deje inestables a los archivos infectados, causando el cuelgue del sistema.
La infección la realiza agregando todo su código (32,768 bytes) al principio de los archivos infectados. Para impedir volver a infectar los mismos archivos, el virus crea y luego verifica la presencia de una marca en el offset 0x13h del cabezal del .EXE.
Una característica de esta forma de infección, es que el archivo original pierde su icono característico.
Cuando un archivo infectado es llamado, el gusano se ejecuta primero, y luego copia el .EXE original guardado a partir del offset 0x8000 (32,768) con el nombre de SCREWYAHA.EXE en el directorio de Windows. Luego, el virus espera que dicho programa finalice su ejecución para borrar el archivo SCREWYAHA.EXE.
El gusano busca además, algunas características del virus W32/Yaha (y sus variantes), y de encontrarlas, intenta borrar dicho gusano, además de la clave en el registro que lo ejecuta:
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run\WinServices
Luego, el gusano intenta borrar los siguientes archivos creados por el "YAHA.K" en el directorio Windows\System:
Be_Happy.scr
Best_Friend.scr
dance.scr
Friend_Finder.exe
Friend_Happy.scr
friendship.scr
GC_Messenger.exe
hotmail_hack.exe
I_Like_You.scr
love.scr
nav32_loader.exe
shake.scr
Sweet.scr
tcpsvs32.exe
True_Love.scr
world_of_friendship.scr
También procede a quitar los atributos de Oculto (+H), Sistema (+S) y Archivo (+A) puestos por el YAHA en archivos personales (Mis documentos, etc.).
También restablece la página de inicio del Internet Explorer modificada por el YAHA, y luego muestra este mensaje:
Exchange viruses?
Hi there.. it seems you were infected with Yaha.k.
That worm however, written by an idiot who sPeLlS
lIkE tHiS,abused my website and got me toreceive
the complaints. Therefore, I have just disinfected
you.Don't worry tho.. as I didn't wanna steal from
you, I gave you this virus (Win32.HLLP.YahaSux) in
return :)
Greetz,
Gigabyte [Metaphase VX Team]
El gusano reinicia la computadora luego de esto.
El código del gusano contiene el siguiente texto, que no es mostrado:
[Win32.HLLP.YahaSux.b] (c) 2003 Gigabyte [Metaphase VX Team]
Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\MathMagic.scr
C:\Windows\Temp\MathMagic.scr
C:\Windows\Yahasux.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|