¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mydoom.CJ
Descubierto:18/08/2007
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:No
Tamao:~22.000 Bytes
Versin del VDF:6.39.01.16
Versin del IVDF:6.39.01.17 - sábado 18 de agosto de 2007

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  F-Secure: Email-Worm:W32/Mytob.FP
   •  Grisoft: I-Worm/Mydoom.DH


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\mzupdate.exe



Se copia a s mismo en un archivo en la siguiente ubicacin:
   • %TEMPDIR%\tmp%nmero hexadecimal%.tmp



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado despus:
   • %TEMPDIR%\tmp%nmero hexadecimal%.tmp

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • mzupdate = %SYSDIR%\mzupdate.exe

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • RE: hey, how are ya?
   • RE: long time no see!
   • Urgent Announcement
   • Important Announcement
   • RE: hey, hows it going?
   • RE: Your details
   • Hey, congratulations!
   • RE: You have been Approved

En algunos casos el campo del asunto est vaco.
Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
–  En algunos casos puede estar vaco.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • See attached document for details.
   • Please see attached document for more information.
   • This message could not be displayed. It has been attached to this email instead.
   • Please open the attached document. It contains important information.


Archivo adjunto:
El nombre del fichero adjunto est compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • Readme
   • UrgentInfo
   • Details
   • New_Message
   • New_Document
   • %serie de caracteres aleatorios%

    La extensin del fichero es una de las siguientes:
   • .exe
   • .zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


Creacin de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      maria; leo; jose; andrew; george; david; kevin; mike; sam; james;
      john; jim; jack

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; .edu;
      -._!; -._!@; abuse; www


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • io.phat********** : 7001



Enva informaciones acerca de:
     Estado actual del programa viral


Capabilidades de control remoto:
     Eliminar archivo
     Descargar fichero
     Ejecutar fichero
     Terminar proceso viral

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • Petite

Descripción insertada por Andrei Gherman el lunes 20 de agosto de 2007
Descripción actualizada por Andrei Gherman el lunes 20 de agosto de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.