Nombre:Worm/Anker.P
Descubierto:02/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:15.872 Bytes
Suma de control MD5:0d190e489ecb8c595425eb7543ee2624
Versión del VDF:6.31.1.208

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efectos secundarios:
   • Descarga un fichero
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\Bazzi.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
El fichero está guardado en el disco duro en: %SYSDIR%\MSWINSCK.OCX

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Modifica las siguientes claves del registro:

– [HKLM\Software\speedBit\Download Accelerator]
   Valor anterior:
   • "BrowserIntegration"=%configuración definida por el usuario%
   Nuevo valor:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"="=%configuración definida por el usuario%
   Nuevo valor:
   • "Hidden"=dword:00000000

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


El diseño de los mensajes de correo:



De: peter_parker@hotmail.com
Asunto: Returned mail
Cuerpo del mensaje:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.



De: mariah_hillary@aol.com
Asunto: Delivery Error
Cuerpo del mensaje:
   • Mail transaction failed. Partial message is available.



De: johnloke@msn.uk
Asunto: Status
Cuerpo del mensaje:
   • The message contains Unicode characters and has been sent as a binary attachment.



De: bazzi@microsoft.com
Asunto: Server Report
Cuerpo del mensaje:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.



De: sarah_alia@yahoo.com
Asunto: Mail Transaction Failed
Cuerpo del mensaje:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.



De: seniormanager@byblos.com
Asunto: Mail Delivery System
Cuerpo del mensaje:
   • Your credit card was charged for $500 USD. For additional information see the attachment.



De: michel_bado@gmail.com
Asunto: Do not reply to this email!
Cuerpo del mensaje:
   • ESMTP [Secure Mail System 334]: Secure message is attached.



De: otacon@konami.jp
Asunto: Error
Cuerpo del mensaje:
   • Encrypted message is available.



De: majortom@fbi.gov
Asunto: FWD:Hello
Cuerpo del mensaje:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.



De: hilton_britgette@ahker.lb
Asunto: FWD:Hey
Cuerpo del mensaje:
   • Bad Gateway: The message has been attached.



De: billy@hacker.com
Asunto: There you go!
Cuerpo del mensaje:
   • There is the password you requested!



De: agent@hacker.com
Asunto: Password Cracked!
Cuerpo del mensaje:
   • Hotmail Cracker Version 2.25 attached!


Archivo adjunto:
El nombre del fichero adjunto es:
   • Message.Zip

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Finalización de los procesos El siguiente proceso es finalizado:
   • DAP.exe


 DoS (Denegación de Servicios) Al activarse, inicia un ataque DoS en la siguiente destinación:
   • http://www.rohitab.com

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Razvan Olteanu el lunes 5 de septiembre de 2005
Descripción actualizada por Razvan Olteanu el lunes 5 de septiembre de 2005

Volver . . . .