w32/sahay.b

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/sahay.b

pe_sahay.b, virus.w32/sahay.b, sahay.b

tipo: gusano
tama?o: 32,768 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 08/03/2003
w32/sahay.b es un gusano que se transmite vía e-mail. se envia a si mismo a todos los contactos de la libreta de direcciones de outlook, además infecta archivos .exe, e intenta eliminar del sistema al gusano w32/yaha.k y a sus variantes. esta escrito en visual c++ y comprimido con la utilidad pe.
características del mensaje de e-mail:
asunto: fw: sit back and be surprised..
cuerpo:
think of a number between 1 and 52.
say it out loud, and keep repeating while you read on.
think of the name of someone you know (of the opposite sex).
now count which place in the alphabet, the second letter of that name has.
add that number to the number you were thinking of.
say the number out loud 3 times.
now count which place in the alphabet the first letter of your first
name has, and substract that number from the one you just had.
say it out loud 3 times.
now sit back, watch the attached slide show, and be surprised..
archivo adjunto: mathmagic.scr
----------------------------------------------------------
cuando el gusano se ejecuta se copia a sí mismo dentro de:
c:\mathmagic.scr
seguidamente el gusano copia y ejecuta uno de sus componentes que es el que inicia la rutina de envio masivo de correos, al finalizar el envio de correos, este componente se borra a sí mismo:
c:\windows\yahasux.vbs
cuando el gusano esta instalado en el sistema, procede a infectar a todos los archivos .exe que encuentre dentro de la carpeta download del mirc. el cual esta ubicado en:
c:\program files\mirc\download
los archivos infectados aumentan en 32,768 bytes de código malicioso, el gusano dispone de un contador para evitar volver a infectar a estos archivos, cuando cualquier archivo infectado es ejecutado, el gusano copia y ejecuta un archivo llamado screwyaha.exe dentro de la carpeta windows, que eliminará al finalizar su rutina.
finalmente el gusano intentará eliminar del sistema al virus yaha.k y cualquiera de sus variantes que encuentre en el sistema, lo primero que hace es impedir que el yaha se ejecute cuando un archivo .exe sea ejecutado.
además el gusano elimina la siguiente entrada en el registro creada por el virus yaha para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
winservices
luego procede a borrar todos los archivos que son creados por el virus yaha.k, en:
c:\windows\system\best_friend.scr
c:\windows\system\friend_happy.scr
c:\windows\system\true_love.scr
c:\windows\system\gc_messenger.exe
c:\windows\system\dance.scr
c:\windows\system\love.scr
c:\windows\system\i_like_you.scr
c:\windows\system\friend_finder.exe
c:\windows\system\be_happy.scr
c:\windows\system\sweet.scr
c:\windows\system\shake.scr
c:\windows\system\world_of_friendship.scr
c:\windows\system\friendship.scr
c:\windows\system\hotmail_hack.exe
c:\windows\system\tcpsvs32.exe
c:\windows\system\nav32_loader.exe
también borra los atributos de oculto, sistema y archivo de algunos archivos que fueron modificados por yaha.k, normalmente estos archivos se encuentran en la carpeta mis documentos, además corrige la página de inicio de internet explorer que fue modificada por el virus.
seguidamente mostrará el siguiente mensaje:
exchange viruses?
hi there.. it seems you were infected with yaha.k. that worm
however, written by an idiot who spells like this, abused my
website and got me to receive the complaints. therefore, i have
just disinfected you. dont worry tho.. as i didnt wanna steal
from you, i gave you this virus (win32.hllp.yahasux) in return :)
greetz,
gigabyte [metaphase vx team]


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo