SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nuevo virus mass mail y peer-to-peer de ALTA PROPAGACIÓN
Nombre de virus: W32/MyDoom@MM y W32/Mydoom.b@MM
Alias conocidos: W32.Novarg.A@mm, Win32/Shimg,
WORM_MIMAIL.R
Riesgo Infección: Alto
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y peer-to-peer
Activación: Por
ejecución de fichero adjunto
Detección: desde
DATS 4319
Motor necesario: desde 4.2.60
Infección actual: Elevada (Inicial,
Media, Elevada)
W32/MyDoom@MM es un gusano mass-mail y peer-to-peer que llega en un mensaje de e-mail como el siguiente:
Remitente: (dirección de remitente falsa)
Asunto: (Variado, por ejemplo alguno de los siguientes)
· Error
· Status
· Server Report
· Mail Transaction Failed
· Mail Delivery System
· hello
· hi
Mensaje: (Variado, por ejemplo alguno de los siguientes)
· The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
· The message contains Unicode characters and has been sent as a binary attachment.
· Mail transaction failed. Partial message is available.
Adjunto: (variado [.bat, .exe, .pif, .cmd, .scr] - a menudo llega en un archivo ZIP) (22.528 bytes)
· ejemplos (nombres comunes, pero pueden ser aleatorios)
· doc.bat
· document.zip
· message.zip
· readme.zip
· text.pif
· hello.cmd
· body.scr
· test.htm.pif
· data.txt.exe
· file.scr
El icono utilizado por el fichero pretende engañar y hacer creer que el adjunto es un fichero de texto:
Cuando se ejecuta este fichero, se copia al directorio WINDOWS SYSTEM con el nombre taskmon.exe
· %SysDir%\taskmon.exe
(Donde %Sysdir% es el directorio de sistema de Windows, por ejemplo C:\WINDOWS\SYSTEM)
Luego crea la siguiente entrada de registro para ejecutarse al inicio de Windows:
·
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
El virus utiliza una DLL que se crea en el directorio Windows System:
· %SysDir%\shimgapi.dll (4.096 bytes)
Esta DLL se inyecta en el proceso del EXPLORER.EXE tras reiniciar a través de esta clave de registro:
· HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
· wab
· adb
· tbb
· dbx
· asp
· php
· sht
· htm
· txt
Adicionalmente, el gusano contiene cadenas, que utiliza para generar direcciones aleatoriamente.
El virus se envía a las direcciones recopiladas via SMTP. El gusano supone el servidor e-mail destino, incluyendo antes del nombre del dominio las siguientes cadenas:
· mx.
· mail.
· smtp.
· mx1.
· mxs.
· mail1.
· relay.
· ns.
Propagación Peer To Peer
El gusano se copia al directorio compartido de KaZaa con los siguientes nombres de
fichero:
· nuke2004
· office_crack
· rootkitXP
· strip-girl-2.0bdcom_patches
· activation_crack
· icq2004-final
· winamp
Componente de Acceso Remoto
El gusano abre una conexión en el puerto TCP 3127 para permitir acceso remoto al
equipo.
Payload de Denegación de Servicio
En el primer inicio del sistema el 1 de Febrero o posterior, el gusano cambia su
comportamiento mass mailing para iniciar un ataque de denegación de servicios contra el
dominio sco.com. Este ataque de denegación de servicios finalizará al inicio del
sistema del 12 de Febrero o posterior, y desde ese momento el único comportamiento del
gusano será continuar escuchando en el puerto TCP 3127.
W32/Mydoom.b@MM
Para la variante W32/Mydoom.b@MM, utiliza exactamente la misma técnica pero con otros ficheros y modificando el hosts. Para controlar esta variante es necesario disponer de los DAT 4320
Detección y eliminación
El gusano se controla desde los DAT 4320 , para su eliminación se recomienda ejecutar nuestra utilidad ELIMYDOA .
SATINFO, VIRUSCAN SPAIN SERVICE 27 de Enero de 2004
