¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mydoom.BT
Descubierto:22/06/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:24.576 Bytes
Suma de control MD5:d102de7a1ec7b37db2cb0936e51f8509
Versin del VDF:6.31.00.92

 General Mtodos de propagacin:
   • Correo electrnico
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Mydoom.au
   •  Grisoft: I-Worm/Mytob.JE
   •  VirusBuster: I-Worm.Mytob.EK1
   •  Eset: Win32/Mydoom.BH


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta un fichero daino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\caca.exe



Crea el siguiente fichero:

%SYSDIR%\systemcall.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Mydoom.BT.DLL

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Caca"="%SYSDIR%\caca.exe"



Aade la siguiente clave al registro:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • @="%SYSDIR%\systemcall.dll"
   • "ThreadingModel"="Apartment"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Error
   • Status
   • hello
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Archivo adjunto:
El nombre del fichero adjunto est compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    La extensin del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Creacin de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Extrae la carpeta compartida tras emplear la siguiente clave del registro:
   • HKCU\Software\Kazaa\Transfer

   Al tener xito, crea los siguientes ficheros:
   • nuke2004
   • office_crack
   • rootkitXP
   • winamp5
   • icq2004-final
   • activation_crack
   • strip-girl-2.0bdcom_patches

   Estos ficheros son copias del programa malicioso.

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% en el puerto TCP 3127 para funcionar como servidor proxy Socks 4,

 DoS (Denegacin de Servicios) Al activarse, inicia un ataque DoS en la siguiente destinacin:
   • www.sco.com

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el lunes 23 de octubre de 2006
Descripción actualizada por Irina Boldea el lunes 6 de noviembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.