Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: YAMA (Alan-Perú). Gusano con connotaciones políticas
 
VSantivirus No. 252 - Año 5 - Sábado 17 de marzo de 2001
Modificado 10 de mayo de 2001 (variante I-Worm.Yama.B)

Nombre: I-Worm.YAMA
Tipo: Gusano de Visual Basic Script
Alias: ALAN-PERU, Worm/Yama, JS.Disturbed.A@m, I-Worm.Yama, JS/Yama.gen@M

[Descripción realizada por Jorge Machado de Per Antivirus http://www.persystems.com (Lima-Perú) y tomada con permiso de su autor]

Este es un gusano escrito en Visual Basic Script y Java Script, que se propaga por correo electrónico, sin necesidad de que se ejecute algún archivo anexado.

Haciendo uso de las características de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se autoenvía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, bajo el formato HTA (HTML Application de Internet Explorer 5), que es un archivo ejecutable HTML, el cual requiere que se tenga instalado el Windows Scripting Host.

YAMA o ALAN-PERU únicamente infecta a los sistemas operativos Windows 95/98 que tengan configurado el directorio C:\WINDOWS. Si tuviese otro nombre diferente, como por ejemplo WIN95 o WINDOWS98, no afectará al sistema. 

La técnica empleada por este gusano, es similar a la del virus BubbleBoy, ya que con el simple hecho de leer el mensaje, que por lo general no tiene ningún contenido, lo conectará automáticamente, a través del navegador, hacia el siguiente URL:

http://orbita.starmedia.com/~yamaperu/yama.gif

Sólo serán afectados los sistemas que tengan activada la opción "Vista previa Automática" de MS Outlook u Outlook Express.

Luego iniciará su proceso de infección, copiándose como yama.hta al directorio:

C:\Windows\Start Menu\Programs\StartUp

y se establecerá como página inicial de Internet Explorer este URL:

http://orbita.starmedia.com/~yamaperu

En este sitio web, el autor del virus publica información acerca de la crisis política y económica del PERU, además manifiesta serias críticas y denuncias sobre diversos personajes vinculados al gobierno peruano, así como a candidatos a la presidencia del proceso electoral del 2001.

Luego buscará información sobre MS Outlook en el registro de Windows, para asignarlos como firmas por defecto:

yamalauncher.htm
yamalauncher.txt
yamalauncher.rtf

Y en le caso de MS Outlook Express:

yamalauncher.html

Finalmente crea el archivo alan.html en el directorio C:\WINDOWS, que se ejecuta automáticamente mostrando una pantalla con fondo verde y grandes letras en rojo, blanco, negro y azul, este texto: 

           ALAN - PERÚ
      ALAN - PERÚ
         ALAN - PERÚ
                   
    Abril 2001 - PERUANISMO
                      yama
(c) Jorge Machado
PER ANTIVIRUS
http://www.persystems.com
Lima-Perú


Nombre: I-Worm.Yama.B
Alias: JS/Yama.B, Worm/Yama.b, JS.Disturbed.B@m, I-Worm.Yama, JS/Yama.gen@M
La variante JS/Yama.B está encriptada, y además no requiere de "C:\WINDOWS" para funcionar, pudiendo actuar en cualquier instalación de Windows


Ver también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
10/nov/99 - Worm: BubbleBoy. Puede infectarnos sin abrir ningún archivo 		 

Copyright 1996-2001 Video Soft BBS