Nome del virus:Worm/Mydoom.CD
Scoperto:21/03/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:28.160 Byte
Somma di controllo MD5:eda0ab20b95a3722b04101490D340E20
Versione VDF:6.34.00.76

 Generale Metodi di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Gurong.a
   •  TrendMicro: WORM_MYDOOM.BK

Precedentemente individuato come:
   •  Worm/Mydoom.CD.2


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\wmedia16.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\removeMe%numero%.bat
   • %TEMPDIR%\tmp%numero esadecimale%.tmp




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • 65.19.**********
   • 64.62.**********
Viene salvato in locale sotto: c:\mp.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Mydoom.CD.1

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WMedia16 = wmedia16.exe

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Re: I got it! Try it now!
   • Re[2]: wazzup bro
   • Re: Hello
   • Greetings!
   • Hey dear!
   • Hello friend ;)
   • Wazzap bro!!
   • Hey! How are you doing bud?

In alcuni casi l'oggetto può anche essere vuoto.
Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi può essere vuoto.
–  In alcuni casi può contenere caratteri casuali.
Il corpo dell’email è come uno dei seguenti:
   • Hey dear! Here is my photos, as I promised.
   • Hello bro! Here is my new girlfriend's photo! Check it out!
   • Hey man! Take a look at attachment!
   • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
   • Whatz up man! There is my nude 17-yr sister in the attachment!
   • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
   • Greetings. Here is some my nude photos in the attachment.
   • Hey bro! Check out attachment! There is a new plug-in for skype!
   • Hello! I sent you new skype plug-in, as you wished.
   • Hello! There is NEW plug-in for MSN. Try it out!
   • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
   • Hey friend! Try this new smiles pack for MSN messenger!


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • i_love_u
   • i_luv_u
   • conf_data
   • port_imgs
   • sex_pics
   • doc
   • sex_girls
   • document
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • txt
   • htm
   • sht
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • john; john; alex; michael; james; mike; kevin; david; george; sam;
      andrew; jose; sandra; den; dmitry; vlad; alexey; olga; leo; maria;
      jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; linda;
      craig; jayson; lee; cyber; frank; joe; dan; dave; matt; steve; smith;
      adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy;
      julie; linda; marina; vladimir; nikolay; gerhard; ilya; boris

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • yahoo.com
   • msn.com
   • earthlink.net
   • aol.com
   • hotmail.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .aero; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      alert; page; the.bat; fethard; gold-certs; feste; submit; not; help;
      service; privacy; somebody; soft; contact; site; rating; bugs; you;
      your; someone; AccountRobot; anyone; nothing; nobody; noone;
      webmaster; webmoney; postmaster; samples; info; root; fraud; accoun;
      google; certific; listserv; linux; bsd; unix; ntivi; support;
      icrosoft; admin; spm; fcnz; www; secur; abuse; .edu;


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Recupera la cartella condivisa interrogando la seguente chiave di registro:
   • HCKU\Software\Kazaa\Transfer\DlDir0

   Se riuscito, i seguenti file vengono creati:
   • winamp5.bat; icq5.bat; xp_activation.bat; strip-girl4.bat0c.bat;
      dcom_patches.bat; lsas_patches.bat; msblast_patches.bat;
      skype_video.bat; 0day_patch.bat; office_crack.bat;
      trillian_crack_all.bat; winamp5.cmd; icq5.cmd; xp_activation.cmd;
      strip-girl4.cmd0c.cmd; dcom_patches.cmd; lsas_patches.cmd;
      msblast_patches.cmd; skype_video.cmd; 0day_patch.cmd;
      office_crack.cmd; trillian_crack_all.cmd; winamp5.exe; icq5.exe;
      xp_activation.exe; strip-girl4.exe0c.exe; dcom_patches.exe;
      lsas_patches.exe; msblast_patches.exe; skype_video.exe;
      0day_patch.exe; office_crack.exe; trillian_crack_all.exe; winamp5.pif;
      icq5.pif; xp_activation.pif; strip-girl4.pif0c.pif; dcom_patches.pif;
      lsas_patches.pif; msblast_patches.pif; skype_video.pif;
      0day_patch.pif; office_crack.pif; trillian_crack_all.pif; winamp5.scr;
      icq5.scr; xp_activation.scr; strip-girl4.scr0c.scr; dcom_patches.scr;
      lsas_patches.scr; msblast_patches.scr; skype_video.scr;
      0day_patch.scr; office_crack.scr; trillian_crack_all.scr; winamp5.zip;
      icq5.zip; xp_activation.zip; strip-girl4.zip0c.zip; dcom_patches.zip;
      lsas_patches.zip; msblast_patches.zip; skype_video.zip;
      0day_patch.zip; office_crack.zip; trillian_crack_all.zip

   Questi file sono copie del malware stesso.

 Varie Collegamento a internet:


Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://windowsupdate.microsoft.com


Mutex:
Crea il seguente Mutex:
   • systemHNDLR9r21

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– Il proprio file
– Il proprio processo
– La propria chiave di registro


Metodo utilizzato:
    • Nascosto dalle Windows API

“Aggancia” le seguenti funzioni API:
   • NtClose/ZwClose
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKEy
   • NtOpenFile/ZWOpenFile
   • NtQueryDirectoryFile/ZwQueryDirectoryFile

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su mercoledì 22 marzo 2006
Descrizione aggiornata da Andrei Gherman su giovedì 30 marzo 2006

Indietro . . . .