Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Yanz.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Yanz.A realiza las siguientes acciones:

Abre el puerto TCP 67 y permanece a la escucha. El gusano intentará ejecutar cualquier archivo que sea descargado remotamente a través de dicho puerto. Este archivo puede ser de cualquier naturaleza, incluyendo malware.
Intenta finalizar los procesos correspondientes al Editor del Registro de Windows, llamado REGEDIT.EXE, y a MSCONFIG.EXE.
Muestra en pantalla el siguiente mensaje cuando es ejecutado:

Metodo de Infección

Yanz.A crea los siguientes archivos:

LSASSS.EXE y YANZI.EXE en el directorio de sistema de Windows. Estos archivos son copias del gusano.
SUN_YAZI.SYS y SUN.SYS en el directorio de sistema de Windows. Estos archivos son copias del gusano, codificadas en formato base64.
YANZI.ZIP en el directorio de Windows. Este archivos es una copia del gusano, comprimida en formato ZIP.
SUN_YANZI.HTM en el directorio donde el gusano es ejecutado.
Varias copias de sí mismo en todos aquellos directorios cuyo nombre contenga la cadena de texto shar.

Yanz.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft Kernel = %sysdir%\ lsasss.exe em32\sun.sys pQ” “
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Yanz.A consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación

Yanz.A se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Yanz.A realiza el siguiente proceso:

Llega al ordenador afectado en un mensaje de características variables, escrito en inglés:

Remitente:
Yanz.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
La dirección falsificada consiste en uno de los siguientes nombres y el dominio de correo del destinatario:
Guvenlik, Stephan-YanZi, Sun_YanZi, SunYanZi, Sun-YanZi, YanZi, YanZi-SuN.

Asunto: uno de los siguientes:
Forevere Sun Yanzi
Free MP3
Guvenkik
Love and SuN YanZi
SuN YanZi
Sun-YanZi
Sun-YanZi Mp3

Contenido: uno de los siguientes:
I don’t want anything. I want to see Sun YanZi.
I want to meet Sun YanZi. I am loving Sun-YanZi Magic.
My Favourite is Sun YanZi.
You must to listen Sun-Yanzi. I am enjoying to listen Sun Ya

Archivo adjunto: tiene un nombre y una extensión variables:
Posibles nombres: LOVE_SUN, STEPHAN_YANZI, SUN_YANZI, SUN_YANZI_MP3, SUNYANZI.
Posibles extensiones: CMD, PIF, SCR, ZIP.
El ordenador es afectado cuando el archivo adjunto es ejecutado.
Yanz.A busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, DOC, HTM, HTML, JSP, RTF, TXT y XML.
Yanz.A se envía a sí mismo a todas las direcciones de correo que ha recogido y a todos los contactos que aparecen en la Libreta de Direcciones, empleando para ello su propio motor SMTP.
Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
@google, @kaspersky, @microsoft, @norman, @pandasoftware, @sophos, @symantec.

2.- Propagación a través de programas de intercambio de archivos.

Yanz.A realiza el siguiente proceso:

Crea copias de sí mismo en directorios que contengan la cadena de texto shar. De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos. Utiliza los siguientes nombres de archivo:

Stephan YanZi.Mp3.exe
Sun YanZi - forever.mp3.exe
Sun YanZi - I am not sad.mp3.exe
Sun YanZi - Shen Qi.exe
Sun-YanZi.mp3.exe
Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Yanz.A, pensando que se trata de canciones, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Yanz.A.

Otros Detalles

Yanz.A está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 68608 Bytes y está comprimido mediante UPX.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info