Nome del virus:Worm/Mydoom.AS.1
Scoperto:27/04/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Basso
File statico:Si
Dimensione del file:86.637 Byte
Somma di controllo MD5:06ad8f6017e0d638481d877af8881e4f
Versione VDF:6.30.00.141 - mercoledì 27 aprile 2005
Versione IVDF:6.30.00.141 - mercoledì 27 aprile 2005

 Generale Metodi di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Mcafee: W32/Mydoom.bn@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.as
   •  TrendMicro: WORM_MYDOOM.AQ
   •  F-Secure: Email-Worm.Win32.Mydoom.as
   •  Sophos: W32/MyDoom-BN
   •  Panda: W32/Mydoom.BJ.worm
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.BJ
   •  Eset: Win32/Mydoom.BC
   •  Bitdefender: Win32.Worm.Mydoom.BJ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %SYSDIR%\taskmon.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TaskMon="%SYSDIR%\taskmon.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TaskMon="%SYSDIR%\taskmon.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Oi a quanto tempo... =)
   • Eu nao ti vejo a muito tempo.
   • Duvido voce me reconher =)
   • Voce me reconhece??
   • Saudades de voce!!!
   • lembra de mim??
   • estou longe!!
   • Eu te amo



Corpo dell'email:
Il corpo dell’email è come il seguente:
   • Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)


File allegato:
Il nome del file allegato è uno dei seguenti:
   • album
   • fotografia
   • fotos
   • album_de_foto
   • minhas_fotos

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • joao; alex; michel; michele; james; marcos; felipe; davi; george;
      samuel; andre; andreia; jose; leonardo; maria; georgia; bernardo;
      sergio; joana; luis; raimundo; tom; patricia; roberto; roberta;
      tercio; fernando; daniela; diego; steve; fernanda; luisa; adriana;
      bruno; david; samanta; fred; rafael; luiza; afonso; breno; alice; ana;
      brenda; claudia; marcela; debora; helen; helena; simone; lucas;
      juliana; adriano; sandra; sandro; barbara; bruna; rafaela



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!@; -._!; avp; syma; icrosof; msn.; panda; sopho; borlan; inpris;
      example; mydomai; nodomai; ruslis; berkeley; unix; math; bsd; mit.e;
      gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana; ietf;
      rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst; pgp;
      tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; me; bugs; rating; site; contact; soft; no; somebody; privacy;
      service; help; not; submit; feste; ca; gold-certs; the.bat; page;
      abuse; admin; lista; icrosoft; support; ntivi; listserv; certific;
      accoun; spm; fcnz; www


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:   Recupera la cartella condivisa interrogando la seguente chiave di registro:
   • Software\Kazaa\Transfer

   Se riuscito, i seguenti file vengono creati:
   • activation_crack.exe; icq2004-final.exe; nuke2004.exe;
      office_crack.exe; rootkitXP.exe; strip-girl-2.0bdcom_patches.exe;
      winamp5.exe; activation_crack.bat; icq2004-final.bat; nuke2004.bat;
      office_crack.bat; rootkitXP.bat; strip-girl-2.0bdcom_patches.bat;
      winamp5.bat; activation_crack.pif; icq2004-final.pif; nuke2004.pif;
      office_crack.pif; rootkitXP.pif; strip-girl-2.0bdcom_patches.pif;
      winamp5.pif; activation_crack.scr; icq2004-final.scr; nuke2004.scr;
      office_crack.scr; rootkitXP.scr; strip-girl-2.0bdcom_patches.scr;
      winamp5.scr; ;

   Questi file sono copie del malware stesso.

 Varie Mutex:
Crea il seguente Mutex:
   • SwebSipcSmtxS0

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ana Maria Niculescu su giovedì 4 ottobre 2007
Descrizione aggiornata da Ana Maria Niculescu su martedì 9 ottobre 2007

Indietro . . . .