¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mydoom.M.unp
Descubierto:26/07/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:41.408 Bytes
Suma de control MD5:6e821a45f567011c1aa88822efc14193
Versión del VDF:6.26.00.44

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Mydoom.AZ@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.am
   •  TrendMicro: WORM_MYDOOM.M
   •  Sophos: W32/MyDoom-BC
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.AJ1
   •  Eset: Win32/Mydoom.AX
   •  Bitdefender: Win32.Mydoom.AQ@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\java.exe



Crea el siguiente fichero:

%WINDIR%\services.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Tr/Mydoom.BB.1




Intenta descargar un fichero:

– La dirección es la siguiente:
   • www.imogenheap.co.uk/iblog/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "JavaVM"="%WINDIR%\java.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Para: las direcciones recolectadas mediante los motores de búsqueda


Asunto:
Uno de los siguientes:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Además, el campo del asunto podría incluir caracteres aleatorios.


El cuerpo del mensaje:
–  Se ha creado con una expresión regular.
–  En algunos casos puede estar vacío.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje es uno de los siguientes:

   • Dear user {%dirección de correo del destinatario% |of %dominio de los destinatarios% },{ {{M|m}ail {system|server} administrator|administration} of %dominio de los destinatarios% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
     
     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
     
     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
     
     {%dominio de los destinatarios% {user |technical |}support team.|The %dominio de los destinatarios% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
     
     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
     
     Your message {was not|could not be} delivered within %número% days:
     {{{Mail s|S}erver}|Host} %dirección IP aleatoria% is not responding.
     
     The following recipients {did|could} not receive this message
     %dirección de correo del remitente%
     
     Please reply to postmaster@{%dominio del remitente% |%dominio de los destinatarios%} if you feel this message to be in error

   • The original message was received at %fecha actual%{| }from {%dominio del remitente% [%dirección IP aleatoria%]}
     
     ----- The following addresses had permanent fatal errors -----
     
     {<%dominio de los destinatarios%>|%dominio de los destinatarios%}
     
     {----- Transcript of {the ||}session follows -----
     
     ... while talking to {host |{mail |}server ||||}{%dominio de los destinatarios%.|%dirección IP aleatoria%}:
     
     {>>> MAIL F{rom|ROM}:%dominio del remitente%
     
     <<< 50%número% {%dominio del remitente% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%dominio de los destinatarios%>... {Mail quota exceeded|Message is too large}
     
     554 <%dominio de los destinatarios%>... Service unavailable|550 5.1.2 <%dominio de los destinatarios%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%dirección IP aleatoria%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
     
     Session aborted{, reason: lost connection|}|>>> RCPT To:<%dominio de los destinatarios%>
     
     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%dominio de los destinatarios%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
     
     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment
     

   • {{The|Your} m|M}essage could not be delivered


Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • doc
   • txt
   • htm
   • html


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Motor de búsqueda:
Para recolectar más direcciones de correo electrónico, se conecta a los siguientes motores de búsqueda:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/



Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • %computername%root%computername%rootx%computername%root%computername%rootxx

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Irina Boldea el jueves, 18 de mayo de 2006
Descripción actualizada por Irina Boldea el lunes, 22 de mayo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.