Worm/Mydoom.CJ - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Mydoom.CJ
Descubierto:	18/08/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~22.000 Bytes
Versión del VDF:	6.39.01.16
Versión del IVDF:	6.39.01.17

General Método de propagación:
   • Correo electrónico

Alias:
   • F-Secure: Email-Worm:W32/Mytob.FP
   • Grisoft: I-Worm/Mydoom.DH

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mzupdate.exe

Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %TEMPDIR%\tmp%número hexadecimal%.tmp

Elimina la copia inicial del virus.

Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\tmp%número hexadecimal%.tmp

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• mzupdate = %SYSDIR%\mzupdate.exe

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones generadas

Asunto:
Uno de los siguientes:
   • RE: hey, how are ya?
   • RE: long time no see!
   • Urgent Announcement
   • Important Announcement
   • RE: hey, hows it going?
   • RE: Your details
   • Hey, congratulations!
   • RE: You have been Approved

En algunos casos el campo del asunto está vacío.
Además, el campo del asunto podría incluir caracteres aleatorios.

El cuerpo del mensaje:
– En algunos casos puede estar vacío.
– En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • See attached document for details.
   • Please see attached document for more information.
   • This message could not be displayed. It has been attached to this email instead.
   • Please open the attached document. It contains important information.

Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

– Empieza por uno de los siguientes:
   • Readme
   • UrgentInfo
   • Details
   • New_Message
   • New_Document
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • .exe
   • .zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm

Creación de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      maria; leo; jose; andrew; george; david; kevin; mike; sam; james;
      john; jim; jack

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; .edu;
      -._!; -._!@; abuse; www

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • io.phat********** : 7001

Envía informaciones acerca de:
    • Estado actual del programa viral

Capabilidades de control remoto:
    • Delete file (es)
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso viral

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• Petite

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 20 Aug 2007 09:00 (GMT+1)
Descripción actualizada por Andrei Gherman el Mon, 20 Aug 2007 10:11 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver