Nombre:WORM/Mydoom.MA
Descubierto:19/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:28.864 Bytes
Suma de control MD5:d6b8c39d2dde82f74671465d3303f0d8
Versión del IVDF:7.10.09.121 - lunes 19 de julio de 2010

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Mydoom.M@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  Sophos: W32/MyDoom-O
   •  Avast: Win32:Mydoom-M
   •  Microsoft: Worm:Win32/Mydoom.O@mm
   •  Panda: W32/Mydoom.N.worm
   •  PCTools: Email-Worm.Mydoom
   •  VirusBuster: I-Worm.Mydoom.R
   •  Eset: Win32/Mydoom.R
   •  AhnLab: Win32/MyDoom.worm.M
   •  Authentium: W32/Mydoom.O@mm
   •  DrWeb: Win32.HLLM.MyDoom.54464
   •  Fortinet: W32/Mydoom.M!dam
   •  Ikarus: Email-Worm.Win32.Mydoom
   •  Norman: MyDoom.L@mm
   •  Rising: Worm.Mail.Mydoom.dh


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Contiene su propio motor para generar mensajes de correo

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\java.exe



Elimina los siguientes ficheros:
   • %TEMPDIR%\tmp10.tmp
   • %TEMPDIR%\tmp11.tmp
   • %TEMPDIR%\tmp12.tmp
   • %TEMPDIR%\tmp13.tmp
   • %TEMPDIR%\tmp14.tmp
   • %TEMPDIR%\tmp15.tmp
   • %TEMPDIR%\tmp16.tmp
   • %TEMPDIR%\tmp17.tmp
   • %TEMPDIR%\tmp18.tmp
   • %TEMPDIR%\tmp19.tmp
   • %TEMPDIR%\tmp1A.tmp
   • %TEMPDIR%\tmp1B.tmp
   • %TEMPDIR%\tmp1C.tmp
   • %TEMPDIR%\tmp1D.tmp
   • %TEMPDIR%\tmp1E.tmp
   • %TEMPDIR%\tmp1F.tmp
   • %TEMPDIR%\tmp2.tmp
   • %TEMPDIR%\tmp20.tmp
   • %TEMPDIR%\tmp21.tmp
   • %TEMPDIR%\tmp22.tmp
   • %TEMPDIR%\tmp23.tmp
   • %TEMPDIR%\tmp24.tmp
   • %TEMPDIR%\tmp25.tmp
   • %TEMPDIR%\tmp26.tmp
   • %TEMPDIR%\tmp27.tmp
   • %TEMPDIR%\tmp28.tmp
   • %TEMPDIR%\tmp29.tmp
   • %TEMPDIR%\tmp2A.tmp
   • %TEMPDIR%\tmp2B.tmp
   • %TEMPDIR%\tmp2C.tmp
   • %TEMPDIR%\tmp2D.tmp
   • %TEMPDIR%\tmp2E.tmp
   • %TEMPDIR%\tmp2F.tmp
   • %TEMPDIR%\tmp3.tmp
   • %TEMPDIR%\tmp30.tmp
   • %TEMPDIR%\tmp31.tmp
   • %TEMPDIR%\tmp32.tmp
   • %TEMPDIR%\tmp33.tmp
   • %TEMPDIR%\tmp34.tmp
   • %TEMPDIR%\tmp35.tmp
   • %TEMPDIR%\tmp36.tmp
   • %TEMPDIR%\tmp37.tmp
   • %TEMPDIR%\tmp38.tmp
   • %TEMPDIR%\tmp39.tmp
   • %TEMPDIR%\tmp3A.tmp
   • %TEMPDIR%\tmp3B.tmp
   • %TEMPDIR%\tmp3C.tmp
   • %TEMPDIR%\tmp3D.tmp
   • %TEMPDIR%\tmp3E.tmp
   • %TEMPDIR%\tmp3F.tmp
   • %TEMPDIR%\tmp4.tmp
   • %TEMPDIR%\tmp40.tmp
   • %TEMPDIR%\tmp41.tmp
   • %TEMPDIR%\tmp42.tmp
   • %TEMPDIR%\tmp43.tmp
   • %TEMPDIR%\tmp44.tmp
   • %TEMPDIR%\tmp45.tmp
   • %TEMPDIR%\tmp46.tmp
   • %TEMPDIR%\tmp47.tmp
   • %TEMPDIR%\tmp48.tmp
   • %TEMPDIR%\tmp49.tmp
   • %TEMPDIR%\tmp4A.tmp
   • %TEMPDIR%\tmp4B.tmp
   • %TEMPDIR%\tmp4C.tmp
   • %TEMPDIR%\tmp4D.tmp
   • %TEMPDIR%\tmp4E.tmp
   • %TEMPDIR%\tmp4F.tmp
   • %TEMPDIR%\tmp5.tmp
   • %TEMPDIR%\tmp50.tmp
   • %TEMPDIR%\tmp51.tmp
   • %TEMPDIR%\tmp52.tmp
   • %TEMPDIR%\tmp53.tmp
   • %TEMPDIR%\tmp54.tmp
   • %TEMPDIR%\tmp55.tmp
   • %TEMPDIR%\tmp56.tmp
   • %TEMPDIR%\tmp57.tmp
   • %TEMPDIR%\tmp58.tmp
   • %TEMPDIR%\tmp59.tmp
   • %TEMPDIR%\tmp5A.tmp
   • %TEMPDIR%\tmp5B.tmp
   • %TEMPDIR%\tmp5C.tmp
   • %TEMPDIR%\tmp5D.tmp
   • %TEMPDIR%\tmp5E.tmp
   • %TEMPDIR%\tmp5F.tmp
   • %TEMPDIR%\tmp6.tmp
   • %TEMPDIR%\tmp60.tmp
   • %TEMPDIR%\tmp61.tmp
   • %TEMPDIR%\tmp62.tmp
   • %TEMPDIR%\tmp63.tmp
   • %TEMPDIR%\tmp64.tmp
   • %TEMPDIR%\tmp65.tmp
   • %TEMPDIR%\tmp66.tmp
   • %TEMPDIR%\tmp67.tmp
   • %TEMPDIR%\tmp68.tmp
   • %TEMPDIR%\tmp69.tmp
   • %TEMPDIR%\tmp6A.tmp
   • %TEMPDIR%\tmp6B.tmp
   • %TEMPDIR%\tmp6C.tmp
   • %TEMPDIR%\tmp6D.tmp
   • %TEMPDIR%\tmp6E.tmp
   • %TEMPDIR%\tmp6F.tmp
   • %TEMPDIR%\tmp7.tmp
   • %TEMPDIR%\tmp70.tmp
   • %TEMPDIR%\tmp71.tmp
   • %TEMPDIR%\tmp72.tmp
   • %TEMPDIR%\tmp73.tmp
   • %TEMPDIR%\tmp74.tmp
   • %TEMPDIR%\tmp75.tmp
   • %TEMPDIR%\tmp76.tmp
   • %TEMPDIR%\tmp77.tmp
   • %TEMPDIR%\tmp78.tmp
   • %TEMPDIR%\tmp79.tmp
   • %TEMPDIR%\tmp7A.tmp
   • %TEMPDIR%\tmp7B.tmp
   • %TEMPDIR%\tmp7C.tmp
   • %TEMPDIR%\tmp7D.tmp
   • %TEMPDIR%\tmp7E.tmp
   • %TEMPDIR%\tmp7F.tmp
   • %TEMPDIR%\tmp8.tmp
   • %TEMPDIR%\tmp80.tmp
   • %TEMPDIR%\tmp81.tmp
   • %TEMPDIR%\tmp82.tmp
   • %TEMPDIR%\tmp83.tmp
   • %TEMPDIR%\tmp84.tmp
   • %TEMPDIR%\tmp9.tmp
   • %TEMPDIR%\tmpA.tmp
   • %TEMPDIR%\tmpB.tmp
   • %TEMPDIR%\tmpC.tmp
   • %TEMPDIR%\tmpD.tmp
   • %TEMPDIR%\tmpE.tmp
   • %TEMPDIR%\tmpF.tmp



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMPDIR%\tmp10.tmp
   • %TEMPDIR%\tmp11.tmp
   • %TEMPDIR%\tmp12.tmp
   • %TEMPDIR%\tmp13.tmp
   • %TEMPDIR%\tmp14.tmp
   • %TEMPDIR%\tmp15.tmp
   • %TEMPDIR%\tmp16.tmp
   • %TEMPDIR%\tmp17.tmp
   • %TEMPDIR%\tmp18.tmp
   • %TEMPDIR%\tmp19.tmp
   • %TEMPDIR%\tmp1A.tmp
   • %TEMPDIR%\tmp1B.tmp
   • %TEMPDIR%\tmp1C.tmp
   • %TEMPDIR%\tmp1D.tmp
   • %TEMPDIR%\tmp1E.tmp
   • %TEMPDIR%\tmp1F.tmp
   • %TEMPDIR%\tmp2.tmp
   • %TEMPDIR%\tmp20.tmp
   • %TEMPDIR%\tmp21.tmp
   • %TEMPDIR%\tmp22.tmp
   • %TEMPDIR%\tmp23.tmp
   • %TEMPDIR%\tmp24.tmp
   • %TEMPDIR%\tmp25.tmp
   • %TEMPDIR%\tmp26.tmp
   • %TEMPDIR%\tmp27.tmp
   • %TEMPDIR%\tmp28.tmp
   • %TEMPDIR%\tmp29.tmp
   • %TEMPDIR%\tmp2A.tmp
   • %TEMPDIR%\tmp2B.tmp
   • %TEMPDIR%\tmp2C.tmp
   • %TEMPDIR%\tmp2D.tmp
   • %TEMPDIR%\tmp2E.tmp
   • %TEMPDIR%\tmp2F.tmp
   • %TEMPDIR%\tmp3.tmp
   • %TEMPDIR%\tmp30.tmp
   • %TEMPDIR%\tmp31.tmp
   • %TEMPDIR%\tmp32.tmp
   • %TEMPDIR%\tmp33.tmp
   • %TEMPDIR%\tmp34.tmp
   • %TEMPDIR%\tmp35.tmp
   • %TEMPDIR%\tmp36.tmp
   • %TEMPDIR%\tmp37.tmp
   • %TEMPDIR%\tmp38.tmp
   • %TEMPDIR%\tmp39.tmp
   • %TEMPDIR%\tmp3A.tmp
   • %TEMPDIR%\tmp3B.tmp
   • %TEMPDIR%\tmp3C.tmp
   • %TEMPDIR%\tmp3D.tmp
   • %TEMPDIR%\tmp3E.tmp
   • %TEMPDIR%\tmp3F.tmp
   • %TEMPDIR%\tmp4.tmp
   • %TEMPDIR%\tmp40.tmp
   • %TEMPDIR%\tmp41.tmp
   • %TEMPDIR%\tmp42.tmp
   • %TEMPDIR%\tmp43.tmp
   • %TEMPDIR%\tmp44.tmp
   • %TEMPDIR%\tmp45.tmp
   • %TEMPDIR%\tmp46.tmp
   • %TEMPDIR%\tmp47.tmp
   • %TEMPDIR%\tmp48.tmp
   • %TEMPDIR%\tmp49.tmp
   • %TEMPDIR%\tmp4A.tmp
   • %TEMPDIR%\tmp4B.tmp
   • %TEMPDIR%\tmp4C.tmp
   • %TEMPDIR%\tmp4D.tmp
   • %TEMPDIR%\tmp4E.tmp
   • %TEMPDIR%\tmp4F.tmp
   • %TEMPDIR%\tmp5.tmp
   • %TEMPDIR%\tmp50.tmp
   • %TEMPDIR%\tmp51.tmp
   • %TEMPDIR%\tmp52.tmp
   • %TEMPDIR%\tmp53.tmp
   • %TEMPDIR%\tmp54.tmp
   • %TEMPDIR%\tmp55.tmp
   • %TEMPDIR%\tmp56.tmp
   • %TEMPDIR%\tmp57.tmp
   • %TEMPDIR%\tmp58.tmp
   • %TEMPDIR%\tmp59.tmp
   • %TEMPDIR%\tmp5A.tmp
   • %TEMPDIR%\tmp5B.tmp
   • %TEMPDIR%\tmp5C.tmp
   • %TEMPDIR%\tmp5D.tmp
   • %TEMPDIR%\tmp5E.tmp
   • %TEMPDIR%\tmp5F.tmp
   • %TEMPDIR%\tmp6.tmp
   • %TEMPDIR%\tmp60.tmp
   • %TEMPDIR%\tmp61.tmp
   • %TEMPDIR%\tmp62.tmp
   • %TEMPDIR%\tmp63.tmp
   • %TEMPDIR%\tmp64.tmp
   • %TEMPDIR%\tmp65.tmp
   • %TEMPDIR%\tmp66.tmp
   • %TEMPDIR%\tmp67.tmp
   • %TEMPDIR%\tmp68.tmp
   • %TEMPDIR%\tmp69.tmp
   • %TEMPDIR%\tmp6A.tmp
   • %TEMPDIR%\tmp6B.tmp
   • %TEMPDIR%\tmp6C.tmp
   • %TEMPDIR%\tmp6D.tmp
   • %TEMPDIR%\tmp6E.tmp
   • %TEMPDIR%\tmp6F.tmp
   • %TEMPDIR%\tmp7.tmp
   • %TEMPDIR%\tmp70.tmp
   • %TEMPDIR%\tmp71.tmp
   • %TEMPDIR%\tmp72.tmp
   • %TEMPDIR%\tmp73.tmp
   • %TEMPDIR%\tmp74.tmp
   • %TEMPDIR%\tmp75.tmp
   • %TEMPDIR%\tmp76.tmp
   • %TEMPDIR%\tmp77.tmp
   • %TEMPDIR%\tmp78.tmp
   • %TEMPDIR%\tmp79.tmp
   • %TEMPDIR%\tmp7A.tmp
   • %TEMPDIR%\tmp7B.tmp
   • %TEMPDIR%\tmp7C.tmp
   • %TEMPDIR%\tmp7D.tmp
   • %TEMPDIR%\tmp7E.tmp
   • %TEMPDIR%\tmp7F.tmp
   • %TEMPDIR%\tmp8.tmp
   • %TEMPDIR%\tmp80.tmp
   • %TEMPDIR%\tmp81.tmp
   • %TEMPDIR%\tmp82.tmp
   • %TEMPDIR%\tmp83.tmp
   • %TEMPDIR%\tmp84.tmp
   • %TEMPDIR%\tmp9.tmp
   • %TEMPDIR%\tmpA.tmp
   • %TEMPDIR%\tmpB.tmp
   • %TEMPDIR%\tmpC.tmp
   • %TEMPDIR%\tmpD.tmp
   • %TEMPDIR%\tmpE.tmp
   • %TEMPDIR%\tmpF.tmp

%TEMPDIR%\zincite.log Este es un fichero sin código viral y contiene información acerca del programa en sí.
%TEMPDIR%\9qbwjuiS.log Este es un fichero sin código viral y contiene información acerca del programa en sí.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "JavaVM"="%WINDIR%\java.exe"



La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\services.exe"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Daemon]

 Correo electrónico Contiene un motor SMTP integrado para enviar correo no solicitado (spam). Establece una conexión directa con el servidor de destinación. Sus características están descritas a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones recolectadas del Internet.


Asunto:
Uno de los siguientes:
   • DELIVERY FAILED
   • Delivery reports about your e-mail
   • Error
   • %dirección de correo del destinatario%
   • Hello
   • HI
   • Mail System Error - Returned Mail
   • Message could not be delivered
   • Returned mail: Data format error
   • Returned mail: see transcript for details
   • status
   • Test

En algunos casos el campo del asunto está vacío.


El cuerpo del mensaje:
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje es uno de los siguientes:
A veces empieza con:

   • The original message was received at Thu, 4 Mar 2010 02:10:20 -0800 from %dirección de correo del remitente% [184.223.38.167]
     
     ----- The following addresses had permanent fatal errors -----
     %el dominio del destinatario desde la dirección de correo%
     

   • The message was not delivered due to the following reason:
     
     Your message could not be delivered because the destination server was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message could not be delivered within 1 days:
     Host 215.174.141.118 is not responding.
     
     The following recipients could not receive this message:
     %dirección de correo del destinatario%
     
     Please reply to postmaster@iana.org
     if you feel this message to be in error.

   • Dear user %dirección de correo del remitente%,
     
     Your account was used to send a huge amount of unsolicited commercial e-mail messages during this week.
     Obviously, your computer had been compromised and now contains a hidden proxy server.
     
     We recommend that you follow instructions in order to keep your computer safe.
     
     Best regards,
     The %el dominio del remitente desde la dirección de correo% support team.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • attachment.zip
   • %dirección de correo del destinatario%.com
   • %dirección de correo del destinatario%.zip
   • %el dominio del destinatario desde la dirección de correo%.zip
   • document.zip
   • epilogue.com
   • file.zip
   • hp.com.zip
   • innocent.com
   • instruction.zip
   • mail.zip
   • message.cmd
   • message.zip
   • psg.com.zip
   • text.zip
   • tislabs.com.zip
   • transcript.bat
   • transcript.zip
   • zupt.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo puede tener una de las siguientes formas:




 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Patrick Schoenherr el jueves 22 de julio de 2010
Descripción actualizada por Patrick Schoenherr el jueves 22 de julio de 2010

Volver . . . .