Nome del virus:Worm/Mydoom.M.unp
Scoperto:26/07/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:41.408 Byte
Somma di controllo MD5:6e821a45f567011c1aa88822efc14193
Versione VDF:6.26.00.44

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Mydoom.AZ@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.am
   •  TrendMicro: WORM_MYDOOM.M
   •  Sophos: W32/MyDoom-BC
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.AJ1
   •  Eset: Win32/Mydoom.AX
   •  Bitdefender: Win32.Mydoom.AQ@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software

 File Si copia alla seguente posizione:
   • %WINDIR%\java.exe



Viene creato il seguente file:

%WINDIR%\services.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Tr/Mydoom.BB.1




Prova a scaricare un file:

– La posizione è la seguente:
   • www.imogenheap.co.uk/iblog/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "JavaVM"="%WINDIR%\java.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi recuperati contattando i motori di ricerca


Oggetto:
Uno dei seguenti:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  Il corpo della mail è costruito utilizzando una regolare espressione.
–  In alcuni casi può essere vuoto.
–  In alcuni casi può contenere caratteri casuali.


Il corpo dell’email è come uno dei seguenti:

   • Dear user {%indirizzo email del ricevente% |of %dominio del destinatario% },{ {{M|m}ail {system|server} administrator|administration} of %dominio del destinatario% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
     
     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
     
     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
     
     {%dominio del destinatario% {user |technical |}support team.|The %dominio del destinatario% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
     
     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
     
     Your message {was not|could not be} delivered within %numero% days:
     {{{Mail s|S}erver}|Host} %indirizzo IP casuale% is not responding.
     
     The following recipients {did|could} not receive this message
     %indirizzo email del mittente%
     
     Please reply to postmaster@{%dominio del mittente% |%dominio del destinatario%} if you feel this message to be in error

   • The original message was received at %data corrente%{| }from {%dominio del mittente% [%indirizzo IP casuale%]}
     
     ----- The following addresses had permanent fatal errors -----
     
     {<%dominio del destinatario%>|%dominio del destinatario%}
     
     {----- Transcript of {the ||}session follows -----
     
     ... while talking to {host |{mail |}server ||||}{%dominio del destinatario%.|%indirizzo IP casuale%}:
     
     {>>> MAIL F{rom|ROM}:%dominio del mittente%
     
     <<< 50%numero% {%dominio del mittente% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%dominio del destinatario%>... {Mail quota exceeded|Message is too large}
     
     554 <%dominio del destinatario%>... Service unavailable|550 5.1.2 <%dominio del destinatario%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%indirizzo IP casuale%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
     
     Session aborted{, reason: lost connection|}|>>> RCPT To:<%dominio del destinatario%>
     
     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%dominio del destinatario%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
     
     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment
     

   • {{The|Your} m|M}essage could not be delivered


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

L'allegato è una copia del malware stesso.

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • doc
   • txt
   • htm
   • html


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Motore di ricerca:
Per raccogliere più indirizzi email, contatta i seguenti motori di ricerca:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.

 Varie Mutex:
Crea il seguente Mutex:
   • %computername%root%computername%rootx%computername%root%computername%rootxx

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Irina Boldea su giovedì 18 maggio 2006
Descrizione aggiornata da Irina Boldea su lunedì 22 maggio 2006

Indietro . . . .