NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Propagación Media de nueva variante de virus w32/MyDoom. Detiene proceso en memoria del antivirus. Borra Ficheros.

 

Nombre de virus: W32/MyDoom.f@MM
Alias conocidos:
I-Worm.Mydoom.e
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
Por correo electrónico y unidades mapeadas
Activación: Por ejecución de fichero ejecutable (.cmd, .bat, .pif, .com, .scr, .exe)
Detección: desde DATS 4327
Motor necesario: desde 4.2.60
Infección actual:
Media (Inicial, Media, Elevada)

w32/MyDoom.f@MM es un gusano mass-mailing que se propaga también por recursos compartidos y que presenta las siguientes características:

  • contiene su propio motor SMTP para generar mensajes salientes
  • puede copiarse a unidades mapeadas
  • contiene un componente backdoor
  • incluye un payload de Denegación de Servicio
  • incluye un payload de borrado de ficheros

El virus llega en un mensaje de correo electrónico con las siguientes características:

 

Remitente: (el valor de remitente no es el real)

La dirección remitente no es indicativo de que dicho origen esté infectado. Adicionalmente, usted puede recibir mensajes de alerta de un servidor de correo indicándole que está infectado, cuando no tiene que ser así

Asunto: (Variable, uno de los siguientes)

  • (Blank)
  • Announcement
  • ApprovedNews
  • Attention
  • automatic responder
  • Bug
  • Current Status
  • EXPIRED ACCOUNT
  • For your information
  • hello
  • hi, it's me
  • hi
  • IMPORTANT
  • Information Warning
  • Love is Love is...
  • Please read
  • Please reply
  • Re: Approved
  • Re: Thank You
  • Re:
  • Read it immediately
  • read now!
  • Read this
  • Readme
  • Recent news
  • Recent news
  • Something for you
  • Undeliverable message
  • Unknown
  • You have 1 day left
  • You use illegal File Sharing...
  • Your IP was logged
  • Your account is about to be expired
  • Your credit card
  • Your order is being processed
  • Your order was registered
  • Your request is being processed
  • Your request was registered

 

Mensaje: (Variable, uno de los siguientes)

  • Check the attached document.
  • Details are in the attached document. You need Microsoft Office to open it.
  • Greetings
  • Here is the document.
  • Here it is
  • I have your password :)
  • I wait for your reply.
  • I wait for your reply.
  • I'm waiting Okay
  • I'm waiting
  • Information about you
  • Is that from you?
  • Is that yours?
  • Kill the writer of this document!
  • OK Everything ok?
  • Please see the attached file for details
  • Please, reply
  • Read the details.
  • Reply
  • See the attached file for details
  • See you Here it is
  • See you
  • Something about you
  • Take it
  • The document was sent in compressed format.
  • We have received this document from your e-mail.
  • You are a bad writer
  • You are bad

Adjunto: (Variable [.cmd, .bat, .pif, .com, .scr, .exe] - a menudo llega en un archivo zip)

  • creditcard.bat
  • creditcard.zip
  • details.zip
  • mail.zip
  • notes.zip
  • part1.zip
  • paypal.zip
  • photo.zip
  • textfile.zip
  • vpf.zip
  • website.zip
  • %random characters%.zip

al ejecutar el fichero anterior (manualmente), este se copia en el directorio WINDOWS SYSTEM utilizando nombres aleatorios (Eg: hiruszomrk.exe)

  • %SYSDIR%\hiruszomrk.exe

 

(donde %SYSDIR% es el directorio Windows System, por ejemplo C:\windows\system)

Crea la siguiente entrada de registro para interceptar el inicio de Windows:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "nhch" = %SYSDIR%\hiruszomrk.exe

 

El virus también utiliza una DLL, que genera en el directorio Windows System, utilizando nombres de ficheros aletorios (Eg: vppu.dll):

  • %SYSDIR%\vppu.dll (8,068 bytes)

 

El gusano enumera los procesos activos en memoria, e intenta detener los que presentan los siguientes nombres:

  • avp.
  • avp32
  • intrena
  • mcafe
  • navapw
  • navw3
  • norton
  • reged
  • taskmg
  • taskmo

 

Propagación por Unidades Compartidas

El gusano realiza copias de sí mismo como archivos .zip o .exe en diferentes directorios, de unidades locales y mapeadas. Los nombres de ficheros son aleatorios y su tamaño es 34 Kbytes.

El gusano busca unidades locales y mapeadas para borrar ficheros con las siguientes extensiones: [bmp, avi, jpg, sav, xls, doc, mdb]

Componente de Acceso Remoto

El gusano que a la escucha del puerto 1080 en el equipo infectado. También abre una lista de otros puertos. El rango de puertos está entre 3000 ~ 5000.

 

Componente de Denegación de Servicio

Si la fecha del sistema se encuentra entre el 17 y el 22 de cualquier mes, el gusano realizará una ataque de denegación de servicio contra las siguientes webs:

  • www.microsoft.com
  • www.riaa.com

 

 

Detección y eliminación

El gusano se controla desde los DAT 4327 , para su eliminación se recomienda ejecutar nuestra utilidad ELIMYDOA.

SATINFO, VIRUSCAN SPAIN SERVICE 25 de Febrero de 2004

Anterior