Publicidad

Maax es
un gusano destructivo reportado el 11 de Febrero del 2003, de propagación masiva
a través de mensajes de correo con diversos Asuntos,
destinatario personalizado y con un archivo anexado de
nombre Tca.exe.
Se difunde además por las redes Peer to Peer KazaaBearShare,
eDonkey, Morpheus,
Grokster
y LimeWire.  

Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/XP

Está desarrollado en Visual
Basic 6, con una extensión de
11.5 KB y comprimido con el UPX (Ultimate Packer
for eXecutables):

http://upx.sourceforge.net


Haciendo uso de las funciones de las librerías MAPI
(Messaging
Application Programming Interface)
se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS
Outlook.

Asunto, uno de las siguientes frases:

  • IMPORTANT DISCUSSION!
  • NICE TO MEET YOU!
  • Hello man!
  • Hi! ;)
  • Good Idea For ya!
  • DAA Holding have an Idea for Bussiness man
  • Great Job for Professional Programmer
  • Trade and Care about customer!
  • Don’t missed Logon to DAABussiness.com
  • Are you a Bussiness man?
  • How to make a money in one day?
  • Care to trade world map?
  • How to prevent from Pirate CD!
  • Job for you!
  • Do you have an enough salaries for you job?
  • Don’t waste you money!
  • Hey, how are you?
  • Who’s should be attacked first?
  • No More Blood!
  • HOW TO PREVENT YOUR EMAIL FROM VIRUSES?

El Contenido es siempre el mismo, pero
con el nombre personalizado del destinatario.

Al ejecutar el archivo anexado el gusano se
copia a las carpetas %Startup% y %Windir%
con el siguiente nombre:

%Startup%Axam.exe
%Windir%Axam.exe

Para ejecutarse la próxima vez que se inicie
el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

sysaxam32 = “%Windir%Axam.exe”

%Startup%
es una variable que corresponde a C:WindowsMenú
InicioInicio en
Windows 95/98/Me/XP y a C:Documents and
Settingscarpeta_del_usuarioMenú InicioInicio en Windows NT2000XP.

%Windir% es
una variable que corresponde a C:Windows en
Windows 95/98/Me/XP y C:Winnt en Windows
NT2000XP.

Una vez activado, el gusano intenta terminar
con los procesos de los siguientes antivirus, firewalls o programas de monitoreo
que se encuentren instalados en el sistema infectado:

  • _Avp32.exe
  • _Avpcc.exe
  • _Avpm.exe
  • Ackwin32.exe
  • Anti-Trojan.exe
  • Apvxdwin.exe
  • Autodown.exe
  • Avconsol.exe
  • Ave32.exe
  • Avgctrl.exe
  • Avkserv.exe
  • Avnt.exe
  • Avp.exe
  • Avp32.exe
  • Avpcc.exe
  • Avpdos32.exe
  • Avpm.exe
  • Avptc32.exe
  • Avpupd.exe
  • Avsched32.exe
  • Avwin95.exe
  • Avwupd32.exe
  • Blackd.exe
  • Blackice.exe
  • ccApp.exe
  • Cfiadmin.exe
  • Cfiaudit.exe
  • Cfinet.exe
  • Cfinet32.exe
  • Claw95.exe
  • Claw95cf.exe
  • Cleaner.exe
  • Cleaner3.exe
  • Cmd.exe
  • Command.com
  • Dvp95.exe
  • Dvp95_0.exe
  • Ecengine.exe
  • Esafe.exe
  • Espwatch.exe
  • F-Agnt95.exe
  • Findviru.exe
  • Fprot.exe
  • F-Prot.exe
  • F-Prot95.exe
  • Fp-Win.exe
  • Frw.exe
  • F-Stopw.exe
  • HH.exe
  • Iamapp.exe
  • Iamserv.exe
  • Ibmasn.exe
  • Ibmavsp.exe
  • Icload95.exe
  • Icloadnt.exe
  • Icmon.exe
  • Icsupp95.exe
  • Icsuppnt.exe
  • Iface.exe
  • Iomon98.exe
  • Jedi.exe
  • Lockdown2000.exe
  • Lookout.exe
  • Luall.exe
  • Moolive.exe
  • Mpftray.exe
  • N32scanw.exe
  • Navapw32.exe
  • Navlu32.exe
  • Navnt.exe
  • Navw32.exe
  • Navwnt.exe
  • Nisum.exe
  • Nmain.exe
  • Normist.exe
  • Nupgrade.exe
  • Nvc95.exe
  • Outpost.exe
  • Padmin.exe
  • Pavcl.exe
  • Pavsched.exe
  • Pavw.exe
  • Pccwin98.exe
  • Pcfwallicon.exe
  • Persfw.exe
  • Rav7.exe
  • Rav7win.exe
  • Regedit.com
  • Regedit.exe
  • Rescue.exe
  • Safeweb.exe
  • Scan32.exe
  • Scan95.exe
  • Scanpm.exe
  • Scrscan.exe
  • Serv95.exe
  • Smc.exe
  • Sphinx.exe
  • Sweep95.exe
  • Tbscan.exe
  • Tds2-98.exe
  • Tds2-Nt.exe
  • VControl.exe
  • Vet95.exe
  • Vettray.exe
  • Vscan40.exe
  • Vsecomr.exe
  • Vshwin32.exe
  • Vsstat.exe
  • Webscanx.exe
  • Wfindv32.exe
  • Zonealarm.exe

Para infectar las redes P2P
se auto-copia con los siguientes nombres a estas rutas:

  • C:Program FilesKMDMy Shared FolderAxam.exe
  • C:Program FilesKazaaMy Shared FolderInvisible_man.exe
  • C:Program FilesKaZaA LiteMy Shared FolderAjeedNASA.exe
  • C:Program FilesMorpheusMy Shared FolderBlaster.exe
  • C:Program FilesGroksterMy GroksterXXX_HOTSEX.exe
  • C:Program FilesBearShareSharedFxbgbear.exe
  • C:Program FilesEdonkey2000IncomingSetup_flash.exe
  • C:Program FileslimewireSharedSuper Mario.exe

Cambia el valor “exefile
por “Spitmaxa” en la siguiente llave
de registro para infectar cada vez que un archivo
ejecutable es activado:

[HKEY_CLASSES_ROOT.exe]

Logrando este resultado:

[HKEY_CLASSES_ROOTSpitmaxa]

Modifica el AUTOEXEC.BAT
y la próxima vez que se inicie Windows 95/98/Me, formatea los discos C: y
D:

Finalmente muestra esta caja de diálogo:

Sus payloads
son los siguientes:

  • Se propaga masivamente en mensajes de
    correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
  • Deshabilita antivirus, firewalls y programas
    de seguridad y control.
  • Se difunde además vía las más populares
    redes Peer to Peer.
  • Infecta cada vez que se activa un archivo
    ejecutable.
  • Modifica el AUTOEXEC.BAT y formatea los
    discos C: y D:
Publicidad

Otros articulos que te pueden interesar