¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mydoom.L.2
Descubierto:19/07/2004
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:78.756 Bytes
Suma de control MD5:a3026f698ac9b0c575f7ac39f1082e01
Versin del VDF:6.26.00.35

 General Mtodos de propagacin:
   • Correo electrnico
   • Peer to Peer


Alias:
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\lsass.exe



Crea el siguiente fichero:

– Un fichero que contiene las direcciones de correo recolectadas:
   • %TEMPDIR%\%serie de caracteres aleatorios%.txt

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %varios dgitos aleatorios% days:
     Host %direccin IP aleatoria% is not responding.
     
     The following recipients did not receive this message:
     %direccin de correo del destinatario%
     
     Please reply to postmaster@%dominio del remitente%
     if you feel this message to be in error.

   • The original message was received at Tue, %fecha actual% %hora actual%
     from %dominio de los destinatarios% [%direccin IP aleatoria%]
     
     ----- The following addresses had permanent fatal errors -----
     %direccin de correo del destinatario%
     
     ----- Transcript of session follows -----
      while talking to %dominio de los destinatarios%.:
     >>> MAIL From:%direccin de correo del remitente%
     <<< 501 %direccin de correo del remitente%... Refused

   • The original message was received at Tue, %fecha actual% %hora actual%
     from %dominio de los destinatarios% [%direccin IP aleatoria%]
     
     ----- The following addresses had permanent fatal errors -----
     %direccin de correo del destinatario%


Archivo adjunto:
Los nombres de los ficheros adjuntos estn compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    La extensin del fichero es una de las siguientes:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • doc
   • txt
   • htm
   • html


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • incoming
   • ftproot
   • download
   • shar

   Al tener xito, crea los siguientes ficheros:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Estos ficheros son copias del programa malicioso.

 Finalizacin de los procesos Han finalizado los procesos que contienen uno de los siguientes nombres de clase de ventana:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% en el puerto TCP 1042 para proporcionar capabilidades de backdoor.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Irina Boldea el martes 28 de febrero de 2006
Descripción actualizada por Robert Harja Iliescu el martes 5 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.