THYAC, gusano de propagación masiva vía correo y la red Kazaa.

Win32/Thyac@MM

Thyac es un gusano reportado el 28 de Septiembre del 2002, que se propaga masivamente en mensajes de correo y a través de la red compartida Kazaa, con 2 archivos anexados, de nombres aleatorios con extensión .EXE de 18 KB y un segundo con una extensión .THEME o .BAT de apenas 21 bytes, respectivamente.

El archivo .EXE es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Está programado en Visual Basic 6.0 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección:

http://upx.sourceforge.net



Al hacer un click en el archivo infectado el gusano se auto-copia a la carpeta %WinDir%\KN0X.EXE y para ser ejecutado la próxima vez que se inicie el sistema agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSrv" = C:\Windows\kn0x.exe

Inicialmente muestra esta caja de diálogo en la pantalla:



Luego obtiene del registro de Windows la información de la configuración del servidor SMTP (Send Mail Transfer Protocol) del sistema, instalado por defecto:

SMTP Server
SMTP Display Name
User
SMTP Email Address
Las direcciones de correo son capturadas de los archivos temporales de Internet, del sistema infectado y escritos en un archivo que el gusano crea, de nombre EMAIL.TXT.

El gusano se auto-copia al directorio vigente con uno de los siguientes nombres de archivos con extensión .EXE contenidos en su código viral:

I-Explorer7.0.exe
Morpheus_Update_Fix.exe
Kaza_Lite_Update_Fix.exe
Kaza_Fix.exe
Edonkey_Fix.exe
WinXP_Crack.exe
Symantec_KeyGen.exe
McAffea_KeyGen.exe
Flock_Update.exe
AVP_Update.exe
ZoneAlarm_Crack.exe
Inmediatamente libera un archivo .BAT de apenas 21 bytes con estas instrucciones:

@echo off
ctty nul

Este archivo puede tener varios nombres, extraídos del sistema, siempre con las extensiones .theme o .bat, pero su instrucción ctty nul puede deshabilitar algunas funciones o dispositivos de Windows 95/98/Me/NT/2000/XP.

Haciendo uso del servidor SMTP el gusano se auto-envía a las direcciones de correo que registró en el archivo EMAIL.TXT.

El gusano busca los siguientes directorios en el sistema:

C:\PROGRAM FILES\KAZAA\MY SHARED FOLDER
C:\KAZAA\MY SHARED FOLDER

En caso de existir estas carpetas, el gusano se auto-copia en las mismas, innumerables veces, con los siguientes nombres de archivos:

WIN XPCrack.exe
All GamesHack.exe
ICQ Password Hack.exe
HotMailHack.exe
Unreal Tournament 3 FullDownloader.exe
WarCraft III Full.exe
Swat 3 Full Download.exe
Macromedia Flash MX.exe
Tacony.exe
HotMailHack.exe
Credit Cards.exe
Los mismos que serán compartidos en la red Kazaa.

Finalmente el gusano intenta descargar un programa utilitario compresor, desde una dirección remota de Internet, de nombre ZIPPY.EXE

PER ANTIVIRUS® versión 7.6 y 7.7 actualizado al 28 de Septiembre del 2002, detecta y elimina eficientemente este gusano.