Nume:Worm/Mydoom.CD
Descoperit pe data de:21/03/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:28.160 Bytes
MD5:eda0ab20b95a3722b04101490D340E20
Versiune VDF:6.34.00.76

 General Metode de raspandire:
   • Email
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Gurong.a
   •  TrendMicro: WORM_MYDOOM.BK

Initial identificat ca:
   •  Worm/Mydoom.CD.2


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wmedia16.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\removeMe%numar%.bat
   • %TEMPDIR%\tmp%numar hexazecimal%.tmp




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • 65.19.**********
   • 64.62.**********
Fisierul este stocat pe hard disc la: c:\mp.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Mydoom.CD.1

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WMedia16 = wmedia16.exe

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Re: I got it! Try it now!
   • Re[2]: wazzup bro
   • Re: Hello
   • Greetings!
   • Hey dear!
   • Hello friend ;)
   • Wazzap bro!!
   • Hey! How are you doing bud?

Uneori subiectul poate lipsi.
In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Uneori corpul email-ului este gol.
–  Uneori poate contine caractere aleatoare.
Corpul email-ului este unul din textele:
   • Hey dear! Here is my photos, as I promised.
   • Hello bro! Here is my new girlfriend's photo! Check it out!
   • Hey man! Take a look at attachment!
   • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
   • Whatz up man! There is my nude 17-yr sister in the attachment!
   • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
   • Greetings. Here is some my nude photos in the attachment.
   • Hey bro! Check out attachment! There is a new plug-in for skype!
   • Hello! I sent you new skype plug-in, as you wished.
   • Hello! There is NEW plug-in for MSN. Try it out!
   • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
   • Hey friend! Try this new smiles pack for MSN messenger!


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • body
   • i_love_u
   • i_luv_u
   • conf_data
   • port_imgs
   • sex_pics
   • doc
   • sex_girls
   • document
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • txt
   • htm
   • sht
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab


Creeaza adrese pentru campul expeditorului si al destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • john; john; alex; michael; james; mike; kevin; david; george; sam;
      andrew; jose; sandra; den; dmitry; vlad; alexey; olga; leo; maria;
      jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; linda;
      craig; jayson; lee; cyber; frank; joe; dan; dave; matt; steve; smith;
      adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy;
      julie; linda; marina; vladimir; nikolay; gerhard; ilya; boris

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • yahoo.com
   • msn.com
   • earthlink.net
   • aol.com
   • hotmail.com


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • .aero; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      alert; page; the.bat; fethard; gold-certs; feste; submit; not; help;
      service; privacy; somebody; soft; contact; site; rating; bugs; you;
      your; someone; AccountRobot; anyone; nothing; nobody; noone;
      webmaster; webmoney; postmaster; samples; info; root; fraud; accoun;
      google; certific; listserv; linux; bsd; unix; ntivi; support;
      icrosoft; admin; spm; fcnz; www; secur; abuse; .edu;


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


   Extrage fisierul partajat, folosind urmatoarea cheie de registru:
   • HCKU\Software\Kazaa\Transfer\DlDir0

   Daca reuseste, sunt create urmatoarele fisiere:
   • winamp5.bat; icq5.bat; xp_activation.bat; strip-girl4.bat0c.bat;
      dcom_patches.bat; lsas_patches.bat; msblast_patches.bat;
      skype_video.bat; 0day_patch.bat; office_crack.bat;
      trillian_crack_all.bat; winamp5.cmd; icq5.cmd; xp_activation.cmd;
      strip-girl4.cmd0c.cmd; dcom_patches.cmd; lsas_patches.cmd;
      msblast_patches.cmd; skype_video.cmd; 0day_patch.cmd;
      office_crack.cmd; trillian_crack_all.cmd; winamp5.exe; icq5.exe;
      xp_activation.exe; strip-girl4.exe0c.exe; dcom_patches.exe;
      lsas_patches.exe; msblast_patches.exe; skype_video.exe;
      0day_patch.exe; office_crack.exe; trillian_crack_all.exe; winamp5.pif;
      icq5.pif; xp_activation.pif; strip-girl4.pif0c.pif; dcom_patches.pif;
      lsas_patches.pif; msblast_patches.pif; skype_video.pif;
      0day_patch.pif; office_crack.pif; trillian_crack_all.pif; winamp5.scr;
      icq5.scr; xp_activation.scr; strip-girl4.scr0c.scr; dcom_patches.scr;
      lsas_patches.scr; msblast_patches.scr; skype_video.scr;
      0day_patch.scr; office_crack.scr; trillian_crack_all.scr; winamp5.zip;
      icq5.zip; xp_activation.zip; strip-girl4.zip0c.zip; dcom_patches.zip;
      lsas_patches.zip; msblast_patches.zip; skype_video.zip;
      0day_patch.zip; office_crack.zip; trillian_crack_all.zip

   Aceste fişiere sunt copii ale malware-ului.

 Alte informatii Conexiune internet:


Cauta o conexiune Internet, contactand urmatorul website:
   • http://windowsupdate.microsoft.com


Mutex:
Creeaza urmatorul mutex:
   • systemHNDLR9r21

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul fisier
– Propriul proces
– Propria cheie de registru


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtClose/ZwClose
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKEy
   • NtOpenFile/ZWOpenFile
   • NtQueryDirectoryFile/ZwQueryDirectoryFile

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Andrei Gherman on Wednesday, March 22, 2006
Description updated by Andrei Gherman on Thursday, March 30, 2006

Back . . . .