Devi aggiustare il tuo PC?
Assumi un esperto
Nome del virus:Worm/Mydoom.L.2
Scoperto:19/07/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:78.756 Byte
Somma di controllo MD5:a3026f698ac9b0c575f7ac39f1082e01
Versione VDF:6.26.00.35

 Generale Metodi di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %WINDIR%\lsass.exe



Viene creato il seguente file:

– Un file che contiene gli indirizzi email recuperati:
   • %TEMPDIR%\%stringa di caratteri casuale%.txt

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %molte cifre casuali% days:
     Host %indirizzo IP casuale% is not responding.
     
     The following recipients did not receive this message:
     %indirizzo email del ricevente%
     
     Please reply to postmaster@%dominio del mittente%
     if you feel this message to be in error.

   • The original message was received at Tue, %data corrente% %ora corrente%
     from %dominio del destinatario% [%indirizzo IP casuale%]
     
     ----- The following addresses had permanent fatal errors -----
     %indirizzo email del ricevente%
     
     ----- Transcript of session follows -----
      while talking to %dominio del destinatario%.:
     >>> MAIL From:%indirizzo email del mittente%
     <<< 501 %indirizzo email del mittente%... Refused

   • The original message was received at Tue, %data corrente% %ora corrente%
     from %dominio del destinatario% [%indirizzo IP casuale%]
     
     ----- The following addresses had permanent fatal errors -----
     %indirizzo email del ricevente%


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

L'allegato è una copia del malware stesso.

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • doc
   • txt
   • htm
   • html


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Cerca le directory che contengono una delle seguenti sottostringhe:
   • incoming
   • ftproot
   • download
   • shar

   Se riuscito, i seguenti file vengono creati:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Questi file sono copie del malware stesso.

 Processi terminati I processi che contengono uno dei seguenti “nome classe finestra” vengono terminati:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%\%file eseguiti% sulla porta TCP 1042 con lo scopo di procurarsi delle possibili backdoor.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Irina Boldea su martedì 28 febbraio 2006
Descrizione aggiornata da Robert Harja Iliescu su martedì 5 settembre 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.