Nume:Worm/Mydoom.CJ
Descoperit pe data de:18/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~22.000 Bytes
Versiune VDF:6.39.01.16
Versiune IVDF:6.39.01.17 - Saturday, August 18, 2007

 General Metoda de raspandire:
   • Email


Alias:
   •  F-Secure: Email-Worm:W32/Mytob.FP
   •  Grisoft: I-Worm/Mydoom.DH


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\mzupdate.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %TEMPDIR%\tmp%numar hexazecimal%.tmp



Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\tmp%numar hexazecimal%.tmp

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • mzupdate = %SYSDIR%\mzupdate.exe

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese generate


Subiect:
Unul din urmatoarele:
   • RE: hey, how are ya?
   • RE: long time no see!
   • Urgent Announcement
   • Important Announcement
   • RE: hey, hows it going?
   • RE: Your details
   • Hey, congratulations!
   • RE: You have been Approved

Uneori subiectul poate lipsi.
In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Uneori corpul email-ului este gol.
–  Uneori poate contine caractere aleatoare.

 
Corpul email-ului este unul din textele:
   • See attached document for details.
   • Please see attached document for more information.
   • This message could not be displayed. It has been attached to this email instead.
   • Please open the attached document. It contains important information.


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • Readme
   • UrgentInfo
   • Details
   • New_Message
   • New_Document
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • .exe
   • .zip

Atasamentul este o copie malware.

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


Creeaza adrese pentru campul expeditorului si al destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      maria; leo; jose; andrew; george; david; kevin; mike; sam; james;
      john; jim; jack

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; .edu;
      -._!; -._!@; abuse; www


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Backdoor Servere contactate:

   • io.phat********** : 7001



Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • Sterge fisierul
    • descarcare fisier
    • executarea unui fisier
    • terminare proces malware

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Petite

Description inserted by Andrei Gherman on Monday, August 20, 2007
Description updated by Andrei Gherman on Monday, August 20, 2007

Back . . . .