SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nueva variante de virus w32/MyDoom de PROPAGACIÓN MEDIA.
Nombre de virus: W32/MyDoom.o@MM
Alias conocidos: WORM_MYDOOM.M, W32/MyDoom-O
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y P2P.
Activación: Por
ejecución de fichero .EXE,.COM,.SCR,.PIF,.BAT,.CMD
Detección: desde
DATS 4381
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)
Esta nueva variantes de W32/Mydoom está empaquetada con UPX. Al igual que variantes previas, presenta las siguientes características:
- gusano mass-mailing, que contiene su propio motor SMTP para construir los mensajes salientes
- recopila direcciones de email del equipo infectado.
- falsea el remitente (campo From:) del mensaje
- contiene una rutina de propagación peer to peer
Propagación por Correo Electrónico
Remitente : (la dirección es falseada)
El campo Remitente (From) lo falsea, utilizando una dirección de correo electrónico recopilada. Adicionalmente puede construir una cadena para simular ser un retorno, utilizando las siguientes direcciones:
- mailer-daemon@(target_domain)
- noreply@(target_domain)
En este caso visualiza los siguientes nombres:
- "Automatic Email Delivery Software"
- "Bounced mail"
- "MAILER-DAEMON"
- "Mail Administrator"
- "Mail Delivery Subsystem"
- "Post Office"
- "Returned mail"
- "The Post Office"
Asunto:
Utiliza los siguientes asuntos:
- hello
- hi
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
Mensaje:
El virus construye mensajes a partir de series de cadenas que transporta internamente.
Adjunto:
El adjunto puede ser un fichero EXE con una de las siguientes extensiones:
- EXE
- COM
- SCR
- PIF
- BAT
- CMD
También puede ser una copia del gusano dentro de un archivo ZIP (en algunos casos un ZIP dentor de otro). En este caso la extensión es:
- ZIP
El adjunto puede utilizar la dirección email destino como nombre de fichero, en suma a lo siguiente:
- README
- INSTRUCTION
- TRANSCRIPT
- LETTER
- FILE
- TEXT
- ATTACHMENT
- DOCUMENT
- MESSAGE
El adjunto puede utilizar una doble extensión, y pueden haber múltiples espacios
insertados entre extensiones de ficheros, para engañar a los usuarios.
Recopilación de Direcciones de Email
Las direcciones de Email se recopilan de los siguientes tipos de fichero del
equipo infectado:
- DOC
- TXT
- HTM
- HTML
El virus consulta cuatro buscadores para recopilar direcciones de los resultados obtenidos en tales consultas :
- http://search.lycos.com
- http://www.altavista.com
- http://search.yahoo.com
- http://www.google.com
El virus también recopila direcciones de email de
cualquier ventana Outlook que esté activa en el equipo infectado.
Exclusiones de Email
El virus evita enviarse por email a dominios destino que contengan cualquiera de
las siguientes cadenas:
- spam
- abuse
- master
- sample
- accoun
- privacycertific
- bugs
- listserv
- submit
- ntivi
- support
- admin
- page
- the.bat
- gold-certs
- ca
- feste
- not
- help
- foo
- no
- soft
- site
- me
- you
- rating
- your
- someone
- anyone
- nothing
- nobody
- noone
- info
- info
- winrar
- winzip
- rarsoft
- sf.net
- sourceforge
- ripe.
- arin.
- gnu.
- gmail
- seclist
- secur
- bar.
- foo.com
- trend
- update
- uslis
- domain
- example
- sophos
- yahoo
- spersk
- panda
- hotmail
- msn.
- msdn.
- microsoft
- sarc.
- syma
- avp
Propagación Peer to Peer
El virus pretende copiarse a carpetas que contengan las siguientes cadenas:
- USERPROFILE
- yahoo.com
Síntomas
Una vez se ejecuta en el equipo, el gusano se instala como JAVA.EXE en el directorio Windows. Por ejemplo:
- C:\WINDOWS\JAVA.EXE
También genera el fichero SERVICES.EXE en este directorio:
- C:\WINDOWS\SERVICES.EXE
Añade las siguientes claves de registro para interceptar el inicio del sistema:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run "JavaVM" = %WinDir%\JAVA.EXE- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run "Services" = %WinDir%\SERVICES.EXE
También añade las siguientes claves de Registro:
- HKEY_CURRENT_USER\Software\Microsoft\Daemon
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
Abre el puerto TCP 1034 del equipo infectado.
Detección y eliminación
El gusano se controla desde los DAT 4381 , para su eliminación se
recomienda ejecutar nuestra utilidad ELIMYDOA.
SATINFO, VIRUSCAN SPAIN SERVICE 28 de Julio de 2004
