w32/yaha-q, worm.w32/yaha.q@mm, yaha.q, w32.yaha.p@mm, i-worm.lentin.n
tipo: gusano
tama?o: n/d
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 10/03/2003
w32/yaha.q@mm es un gusano que se transmite vía e-mail. utiliza su propio motor smtp, para enviarse a si mismo a todos los contactos de la libreta de direcciones de windows y carpetas compartidas.
cuando el gusano se ejecuta se copia a sí mismo dentro de la carpeta system de windows:
c:\windows\system\exeloader.exe
c:\windows\system\mstask32.exe
ademas el gusano crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoftservicemanager=c:\windows\system\mstask32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
microsoftservicemanager=c:\windows\system\mstask32.exe
también modifica la siguiente entrada en el registro para que cada vez que un archivo ejecutable sea llamado por el sistema, ejecute al gusano, incluido el antivirus.
hkey_classes_root\exefile\shell\open\command
predeterminado=c:\windows\system\exeloader.exe 1 *
cuando el virus se ejecuta, este intenta terminar con cualquiera de los procesos que estuvieran en memoria pertenecientes a antivirus internacionales y firewalls, además finalizará cualquier proceso que tenga asociada una ventana con los siguiente textos:
windows task manager
system configuration utility
registry editor
process viewer
el gusano creará la siguiente entrada en el registro del sistema, agregandoles los valores siguientes: author, comments, version y web.
hklm\software\microsoft\snakes
seguidamente modificará una entrada en el registro con alguno de las direcciones web siguientes:
hkey_local_machine\software\microsoft\windows\currentversion\zonecheck
pakistan.gov.pk
paki.com
pcb.gov.pk
comsats.com
kse.com.pk
si el día es miercoles el gusano realizará las siguientes acciones:
modificará la página de inicio del internet explorer, para lograrlo modifica la siguiente entrada en el registro
hkey_user\software\microsoft\internet explorer\main
start page=http://www.indiansnakes.cjb.net
luego adicionará un enlace al sitio web: http://www.indiansnakes.cjb.net , en todos los archivos .htm y .html que encuentre en la carpeta inetpub/wwwroot/
también crea un archivo de texto en la carpeta windows, el cual tendrá un nombre elegido al azar, dicho archivo contiene uno de los siguientes textos:
indian snakes presants : w32/yaha 2.00
we are the great indians
------------------------
snake p0ison will fuck pakis
n0w we are a team..
beware of the p0ison of the snakes..
back off paki hackers,ur days are over..
pakistans it future is in ur hand..
u stop..we stop..
u started.. we finished...
=================================================
by r0xx,c0bra,devil incarnate
visit us : http://indiansnakes.cjb.net
-------------------------------------------
indian snakes presants : w32/yaha 2.00
we are the great indians
---------------------------
this is just the beginning..
s00000 much t0 c0me..
n0 more pak shit will be tolerated..
time f0r some payback..
there is nothing like team w0rk..
indian snakes with hard p0ison..
we will be back....
=================================================
<> indian snakes <>
* c0bra
* r0xx
* king c0bra
* snakeeyes
* devil incarnate
http://indiansnakes.cjb.net
-------------------------------------------
indian snakes presants : w32/yaha 2.00
we are the great indians
-------------------------
indian it experts.. are u busy earning m0ney ???
d0 s0mething f0r ur c0untry yaaaaar...
c0me and w0rk with us..
but hey we aint any it experts.. why ???
because we d0nt have certificates which u have b0ught..
all we are... we are the great indians
d0 u think we are g00d..
then d0 a favour f0r us.. just respect us..
and explain t0 us.. why u r n0t retaliating t0 paki hackers..
n0 0ther shits needed..
----------------------------------------------------------
r0xx
c0bra
devil incarnate <666@achayans.com>
=====================================
http://www.indiansnakes.cjb.net
--------------------------------------------------
indian snakes presants : w32/yaha 2.00
we are the great indians
------------------------
to gigabyte :: cheers pal, keep up the g00d w0rk..but w32.hllp.yahasux is.. lolz ;)
to mr roger thompson ::
| [technical director of malicious code research for trusecure corp]
| --------------------------------------------------------------
| we are n0t p0liticaly m0tivated sir...
| we are just retaliating t0 paki hackers and their shit hacktivism..
| hahha yaha.k successfull by luck ??? ever heard s0mething like this
| a w0rm made and spread by luck...hehehe lolz..
| and finally we kn0w damn well what the hell we are doing...
| the w0rld pushed us to the dark side..cant help it.. no retreat no surrender
| --------------------------------------------------------------
=========================================================
by r0xx ,c0bra,devil incarnate
visit us : http://indiansnakes.cjb.net
-------------------------------------------
indian snakes presants : w32/yaha 2.00
we are the great indians..
------------------------------------------
ab0ut yaha 2.00 :
main mission is t0 dd0s 5 paki webshits..
fuck paki systems by sending exploited data packets..
dedicated to :
* trend micro corp ( f0r excellent analysis lolz ;) )
* klez author
* sql slammer author
* indian hackers & vxers
* indian s0 called it experts
* pe0ples wh0 fight against corrupti0n ( i guess its alm0st null )
* all members of indian snakes
* t0 my best friend
this is a war between india & pak hackers..
n0 c0untry should get involved..
------------------------------------------
<<>> r0xx <<>>
http://www.indiasnakes.cjb.net
<qph@achayans.com>
|
