Yanz.B
PeligrosidadDañoPropagación

Efectos 

Yanz.B realiza las siguientes acciones:

• Crea tres archivos JPG, uno de los cuales contiene el exploit MS04-028.gen, que intenta aprovechar la vulnerabilidad Desbordamiento de búfer en procesamiento JPEG. Las otras dos contienen fotografías de la cantante Sun Yan Zi:
  
       
• Si dicho archivo JPG malicioso es abierto utilizando una aplicación vulnerable, se descargará y ejecutará un archivo desde Internet. El archivo descargado puede ser de cualquier naturaleza, incluyendo malware.
• Intenta finalizar los procesos correspondientes al Editor del Registro de Windows, llamado REGEDIT.EXE, y a MSCONFIG.EXE.
• Muestra en pantalla el siguiente mensaje cuando es ejecutado:
  
  

Metodo de Infección 

Yanz.B crea los siguientes archivos:

• DONG_SHI.EXE y NVCPL.EXE en el directorio de sistema de Windows. Estos archivos son copias del gusano.
• HUAI_TIAN_QI.SYS y I_AM_SUN_YANZI.SYS en el directorio de sistema de Windows. Estos archivos son copias del gusano, codificadas en formato base64.
• SUN<aleatorio1>.JPG y SUN<aleatorio2>.JPG. Estos archivos son fotografías de Sun Yan Zi. <aleatorio1> y <aleatorio2> representan números aleatorios consecutivos.
• SUN<aleatorio3>.JPG. Este archivo JPG contiene el exploit MS04-028.gen. <aleatorio3> es también un número aleatorio, consecutivo de los dos anteriores.
• YANZI.ZIP en el directorio de Windows. Este archivo es una copia del gusano, comprimido en formato ZIP.
• YANZI.VBS y SUN.EXE en el directorio donde el gusano es ejecutado.
• YANZI.HTM en el directorio raíz de la unidad C:.
• Varias copias de sí mismo en todos aquellos directorios cuyo nombre contenga la cadena shar.

Yanz.B crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  NvCpl = %sysdir%\ NvCpl.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Yanz.B consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Yanz.B se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Yanz.B realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de características variables, escrito en inglés:
  
  Asunto: uno de los siguientes:
  Forever Sun Yanzi
  Great_Asia_Singer
  Hoscakal
  I_hate_Spyware
  Sun_YanZi_Hayrani
  SuN_YanZi_innocent
  Sun-YanZi-Mp3-Archive
  
  Contenido: uno de los siguientes:
  I can not contact you. Because, I am far to you(Turkiye)
  
  I want to meet Sun YanZi. I am loving Sun-YanZi's Magic. Call me YanZi. But you don't contact me(Turkiye).
  
  I want to see Sun YanZi. Call me Sun Yan Zi ;)
  
  My Favourite Singer is Stefanie Sun Yanzi
  
  Please listen to me Stefanie Sun Yanzi.
  
  You must to listen Sun Yanzi. I am enjoying to listen Sun YanZi
  
  Archivo adjunto: tiene un nombre y una extensión variables:
  Posibles nombres: GREAT_ASIA_SINGER, HUAI_TIAN_QI, SUN_YANZI, SUN_YANZI_MP3, WORLD_TOUR_SUN_YANZI.
  Posibles extensiones: PIF, SCR, ZIP.
  
• El ordenador es afectado cuando el archivo adjunto es ejecutado.
• Yanz.B busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, DOC, HTM, HTML, JSP, RTF, TXT y XML.
• Yanz.B se envía a sí mismo a todas las direcciones de correo que ha recogido y a todos los contactos que aparecen en la Libreta de Direcciones, empleando para ello su propio motor SMTP.
• Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
  @aksam, @dostmail, @e-kolay, @erdemir, @erdemironline, @hurriyetim, @milliyet, @mynet, @ntvmsnbc, @posta, @sabah, @superonline.

2.- Propagación a través de programas de intercambio de archivos.

Yanz.B realiza el siguiente proceso:

• Crea copias de sí mismo en directorios que contengan la cadena de texto shar. De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos. Utiliza los siguientes nombres de archivo:
  
  SunYanZi.mp3.exe
  Sun_YanZi-Shen_Qi.exe
  YanZi_SuN-forever.mp3.exe
  YanZi.Mp3.exe
• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Yanz.B, pensando que se trata de canciones, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Yanz.B.

Otros Detalles  

Yanz.B está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 122880 Bytes y está comprimido mediante UPX v1.92.

Yanz.B crea el mutex Stefanie Sun YanZi, para asegurarse de que únicamente una copia del gusano esté activa en cada momento.