CIUDAD DE MÉXICO, México, octubre 2002.- McAfee Security, alerta al mercado sobre la aparicion de dos nuevas amenzas denominadas: W32/Thyac@MM .
De origen desconocido, el W32/Thyac@MM es un virus escrito en Visual Basic, que intenta distribuirse via correo electronico, a todos los contactos encontrados en los archivos extraidos temporales de Internet, y a traves de los compartimientos de KaZaa.
Cuando es ejecutado en la maquina de la victima, este se copia dentro del directorio de instalacion de Windows, como KN0X.EXE, y una llave de
registro es adicionada para que sea cargado en el momento de la inicializacion del sistema. Esta llave puede ser identificada como:
· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"WinSrv" = C:\WINDOWS\kn0x.exe
El Thyac tambien "pregunta" al registro, por informacion sobre laconfiguracion de SMTP, como por ejemplo:
· SMTP Server
· SMTP Display Name
· User
· SMTP Email Address
Las direcciones de correo electronico son extraidas a archivos temporales de Internet y escritas en el archivo EMAIL.TXT.
El virus se copia para el directorio actual, conteniendo los nombres de los archivos descritos a continuacion:
· I-Explorer7.0.exe
· Morpheus_Update_Fix.exe
· Kaza_Lite_Update_Fix.exe
· Kaza_Fix.exe
· Edonkey_Fix.exe
· WinXP_Crack.exe
· Symantec_KeyGen.exe
· McAffea_KeyGen.exe
· Flock_Update.exe
· etc etc (all are not listed here)
Un archivo BAT de 21bytes, pudiendo tener nombres y extensiones alearoias, .theme e .bat, es lanzado por el Thyac conteniendo la siguiente informacion:
@echo off
ctty nul
El virus se envia para las direcciones de correo electronico almacenadas en el archivo EMAIL.TXT, con el siguiente contenido:
Subject: RE:
Body: files for you - from (nome do usuario)
Attachments: copia do worm criada e o arquivo de 21bytes mencionado acima
Si alguno de los siguientes directorios son localizados en la maquina victima:
C:\PROGRAM FILES\KAZAA\MY SHARED FOLDER
C:\KAZAA\MY SHARED FOLDER
El Thyac se copia multiples veces con los siguientes nombres de archivos:
· WIN XPCrack.exe
· All GamesHack.exe
· ICQ Password Hack.exe
· HotMailHack.exe
· Unreal Tournament 3 FullDownloader.exe
· WarCraft III Full.exe
· Swat 3 Full Download.exe
· Macromedia Flash MX.exe
· Tacony.exe
· HotMailHack.exe
· Credit Cards.exe
Finalmente, el virus intenta bajar, desde una direccion URL remota, un archivo utilitario de compactacion, guardandolo localmente con el nombre de ZIPPY.EXE.
McAfee Security considera al W32/Thyac@MM como Riesgo Bajo debido al numero de reportes recibidos por McAfee a nivel mundial. McAfee Security
recomienda que los productos de antivirus sean actualizados semanalmente, ademas de estar configurados para laproteccion de archivos comprimidos (Compressed Files).
