LatinoSeguridad

Menú

Importante

Alerta de virus

W32/Ainjo.E@mm, I.worm.Perkasa@mm

Ainjo.E es un gusano reportado el 24 de Julio del 2003, de alta propagación masiva a través de un mensaje de correo con Asuntos, Contenidos y archivos Anexados aleatorios de extensión .ZIP. También se difunde vía la red Peer to Peer Kazaa y el IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual Basic 6.0, con 549 KB de extensión.

Su autor es Iwing, el webmaster del portal de virus:

http://www.indovirus.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El mensaje tienen las siguientes características:

Asunto, uno de los siguientes:

Re: Web Site Report
Thank You!
Free MP3, OGG/VORBIS Hit Songs !!
Download DVD Movie Now !! Its Free..!
You are Losing Income

Contenido, uno de los siguientes:

The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!! Download it Now And Get free Bonus!
Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out. Save it Now !
ATTENTION: THIS PROGRAM IS EXPLODING WORLDWIDE. THOUSANDS OF PEOPLE ARE SIGNING UP EVERY DAY CREATING ONE OF THE LARGEST MEMBERSHIP BASES IN THE WORLD!
Hello!
Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?
Download the attachment now !

Anexado, elegido de alguno de los siguientes archivos:

SaveNow.zip
Report.zip
FFA.zip
FreeJoin.zip

Al hacer click en el archivo infectado el gusano muestra en pantalla un falso mensaje de error y se auto-copia al directorio %Windir% con los siguientes nombres:

Kernelw32.exe
Blank.scr

Así mismo se copia a la disquetera que se encuentre habilitada y operativa y para activarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
"Kernelw" = "%Windir%\Kernelw32.exe"

Para activarse al re-inicio de Windows 95/98/Me, el gusano modifica el archivo WIN.INI:

WIN.INI
[windows]
load = C:\%Windir%\Kernelw32.exe

Igualmente lo hace con el SYSTEM.INI:

SYSTEM.INI
[boot]
load = C:\%Windir%\Kernelw32.exe

También agrega la siguiente línea al SYSTEM.INI:

[WORM]
Name = I-WORM>PERKASA
Author = Iwing/Indovirus

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para infectar a través de la red Kazaa el gusano libera copias de sí mismo a su carpeta de archivos compartidos, con los siguientes nombres:

C:\Archivos de programa\Kazaa\My Shared Folder\XPPatch.exe
C:\Archivos de programa\Kazaa\My Shared Folder\NUDE7430482Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\AVUPDATE.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\ASIAN568230485Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\NAVUPDATE.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\PIC92124430Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\LIVEUPDATE.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\AMATEURE4981158Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\MCAFEE.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\SEXY50769389Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\PASSWORD.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\Fisting612347221Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\SEXSHOW.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\Preeteens69625457Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\ANTIVIRAL.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\Lolita3830436Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\Fetish57700493Jpg.exe
C:\Archivos de programa\Kazaa\My Shared Folder\FREE_FIREWALL.EXE
C:\Archivos de programa\Kazaa\My Shared Folder\Girls887525186Jpg.exe

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Al conectarse el usuario a un sesión del Chat, el gusano enviará una copia infectada de sí mismo con el nombre FREEPIC.ZIP.

Finalmente, al acceder el usuario a Internet, el navegador será direccionado al portal del autor:

http://www.indovirus.net

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, con diversos Asuntos, Contenidos y archivos Anexados, a los buzones de correo de MS Outlook, haciendo uso de las librería MAPI.
Infecta a través de la red Kazaa.
Si el sistema infectado tiene el software mIRC, se difundirá a través de cualquier sesión de Chat.
Su autor es Iwing, el webmaster de un portal de virus de Indonesia.
Al conectarse el usuario a Internet, será direccionado al portal del autor del gusano.
Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

Fuente: PER