Atak.F
PeligrosidadDañoPropagación

Efectos 

Atak.F no tiene efectos destructivos. Se limita a propagarse por correo electrónico.

Metodo de Infección 

Atak.F crea el archivo MMSLPENC.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Atak.F crea la siguiente entrada en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Windows
  load = %sysdir%\ mmslpenc.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Atak.F consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Atak.F se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo electrónico de características variables, escrito en inglés.
  
  Remitente:
  Atak.F falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: es variable, y sigue el patrón Lista1 + Love + Lista2 + Lista3, donde Lista1, Lista2 y Lista3 son palabras y frases de las listas que aparecen a continuación:
  Lista1: Get, Have a, Make, Stay, True.
  Lista2: and get money, for fun, human spirit, Not spam, Not Wars, to other, will freedom, with me.
  Lista3:- ;-*, !!, !?!, :>, :D, :K, ;), ;-D.
  Por ejemplo: Make Love Not spam ;), Get Love and get money!!, etc.
  
  Contenido: es variable, y sigue el patrón que ahora se detalla:
  1) Saludo: Lista4 + Lista5.
  Lista4: Congratulation, Dear, Greet, Hello, Hi, Nice to meet you, Welcome.
  Lista5: Customer, Ladies & Gentleman, Person, Sir/Madam, User.
  
  2) Frase1: una de las siguientes líneas:
  We have installed our anti-spam tools to protect your email.
  We have make a few change for our customer.Please be informed.
  We have upgraded your account features.
  Your account has been upgraded with our new services.
  Your account info has been setting up to block spam email.
  
  3) Web1: Lista6 + website at + http:// %dominio de correo% + Lista7.
  Lista6: Goto our, Logon to, Please check our, Visit our.
  %mail domain% es el dominio de correo, extraído de la dirección de correo del destinatario.
  Lista7: find out our services, get more info, know about account features, learn about our features.
  
  4) Correo electrónico: Lista8 + dos líneas + Lista9.
  Lista8: Keep this info, Please take note this info, Remember this note, Your account info.
  Primera línea: -> Email: %dirección de correo del destinatario%
  Segunda línea: -> Password: %caracteres aleatorios% + Lista9
  Lista9: (temp. pwd only), (temporary password), (You can change it later), [please change it after registeration], <salto de línea + retorno de carro>.
  
  5) Web2: Lista6 + website to + Lista7 + http://www %dominio de correo%
  
  6) Frase2: Lista10 + information + Lista11.
  Lista10: Email account, NOTE: All your account, Saved, Your account, Your credential.
  Lista11: una de las siguientes frases:
  already included into your email.
  can be found at your email attachment.
  has been attached as a file and ready to be printed.
  has been clipped to your email.
  has been saved. Please check when needed.
  
  7) Despedida: dos líneas:
  Lista12 + ,
  %dominio% + Lista13.
  
  Lista12: By, Regard, Thank you, Your sincerely.
  Lista13: Administrator, Customer Services, Help Team, Services Team, Team, Technical Support.
  
  Algunos ejemplos de estos mensajes variables son los siguientes:
  EJEMPLO 1:
  Dear User,
  
  Your account has been upgraded with our new services.
  Goto our website at <http://www.hotmail.com> to learn about our features.
  
  Remember this note:
  ---> Email: user@hotmail.com <mailto:user@hotmail.com>
  ---> Password: 22c6 (temp. pwd only)
  
  Logon to website to find out our services <http://www.hotmail.com>.
  
  Your account information already included into your email.
  Regard,
  hotmail.com Help Team
  
  EJEMPLO 2:
  Nice to meet you Customer,
  
  We have upgraded your account features.
  Goto our website at <http://www.hotmail.com> to know about account features.
  
  Keep this info:
  ---> Email: user@hotmail.com <mailto:user@hotmail.com>
  ---> Password: 91c5 (You can change it later)
  
  Goto our website to get more info <http://www.hotmail.com>.
  Your account information has been attached as a file and ready to be printed.
  
  Your sincerely,
  hotmail.com Administrator
  
  
  Archivo adjunto: es un archivo comprimido en formato ZIP, con un nombre variable.
  Nombres posibles: NOTE.ZIP, PART001.ZIP, PRINT.ZIP, SEPARATE_FILE.ZIP, TEXTFILE.ZIP, WHITE_PAPER.ZIP.
  El archivo descomprimido tiene el mismo nombre, pero alguna de las siguientes extensiones: BAT, COM, PIF, SCR.
  
• El ordenador es afectado cuando el archivo adjunto es ejecutado.
• Atak.F busca direcciones de correo electrónico en archivos con las siguientes extensiones: ASP, DBX, EML, HTM, HTML, JSP, LOG, MHT, MSG, PHP y TXT.
• Atak.F envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.

Otros Detalles  

Atak.F está escrito en el lenguaje de programación Visual C++ v. 5.0. Este gusano tiene un tamaño de 12265 Bytes cuando está comprimido mediante FSG.

Atak.F crea el mutex mtxV1.2b para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.