¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mydoom.CI.2
Descubierto:27/04/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:66.048 Bytes
Suma de control MD5:c75fefaff36976c46fb2b6dfc0df7ae0
Versin del VDF:6.34.01.17 - jueves 27 de abril de 2006
Versin del IVDF:6.34.01.17 - jueves 27 de abril de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: W32/Mydoom.bz@MM
   •  Kaspersky: Backdoor.Win32.IRCBot.rg
   •  TrendMicro: WORM_MYDOOM.BO
   •  VirusBuster: I-Worm.Mytob.TL
   •  Eset: Win32/Mydoom.BT


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\osalogbe.exe



Crea los siguientes ficheros:

– Un fichero que contiene las direcciones de correo recolectadas:
   • %WINDIR%\mslog\scanlog.txt

%WINDIR%\mslog\%fecha actual%.sys Este fichero contiene los datos recolectados acerca del sistema.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Osalogbe"="%SYSDIR%\osalogbe.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Western Union Payment Notification
   • Bank Wire Transfer
   • Payment Notification
   • Your request has been Approved
   • Life Time Opportunities
   • Congratulations
   • Money Transfer Notification
   • Final Notice Of Payment
   • Please follow this instructions



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Final Notice Of Payment.Please check the attachment for details.
   • Your credit loans has been approved.Please check the attachment for details.
   • Your payment has been confirmed.Please check the attachment for details.
   • The wire transfer information you requested as been sent.Please see the attachment.
   • Your egold payment is waiting for you.Check the attachment for Details
   • Your egold payment is waiting for you.Click the attachment for Details
   • Please check the attached message to claim your money


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • body.zip
   • message.zip
   • test.zip
   • data.zip
   • file.zip
   • text.zip
   • doc.zip
   • readme.zip
   • document.zip



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Creacin de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: irc.perthnet.**********
Puerto: 6667
Canal: #owoduni

Servidor: anubis.zanet.**********
Puerto: 6667
Canal: #owoduni

Servidor: vt.irc.**********
Puerto: 6667
Canal: #owoduni

Servidor: irc.xevio**********
Puerto: 6667
Canal: #owoduni



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Informaciones acerca de los procesos del sistema
    • Carpeta de sistema


 Adems puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Ejecutar ataque DDoS
    • Enviar mensajes de correo
     Iniciar la captura de pulsaciones de teclado

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\osalogbe.exe en el puerto TCP 6666 para proporcionar capabilidades de backdoor.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • ASPack

Descripción insertada por Irina Boldea el lunes 18 de septiembre de 2006
Descripción actualizada por Irina Boldea el martes 19 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.