Worm/Mydoom.AS.1 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Mydoom.AS.1
Scoperto:	27/04/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Basso
File statico:	Si
Dimensione del file:	86.637 Byte
Somma di controllo MD5:	06ad8f6017e0d638481d877af8881e4f
Versione VDF:	6.30.00.141
Versione IVDF:	6.30.00.141

Generale Metodi di propagazione:
   • Email
   • Peer to Peer

Alias:
   • Mcafee: W32/Mydoom.bn@MM
   • Kaspersky: Email-Worm.Win32.Mydoom.as
   • TrendMicro: WORM_MYDOOM.AQ
   • F-Secure: Email-Worm.Win32.Mydoom.as
   • Sophos: W32/MyDoom-BN
   • Panda: W32/Mydoom.BJ.worm
   • Grisoft: I-Worm/Mydoom
   • VirusBuster: I-Worm.Mydoom.BJ
   • Eset: Win32/Mydoom.BC
   • Bitdefender: Win32.Worm.Mydoom.BJ

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

File Si copia alla seguente posizione:
• %SYSDIR%\taskmon.exe

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TaskMon="%SYSDIR%\taskmon.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TaskMon="%SYSDIR%\taskmon.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • Oi a quanto tempo... =)
   • Eu nao ti vejo a muito tempo.
   • Duvido voce me reconher =)
   • Voce me reconhece??
   • Saudades de voce!!!
   • lembra de mim??
   • estou longe!!
   • Eu te amo

Corpo dell'email:
Il corpo dell’email è come il seguente:
   • Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)

File allegato:
Il nome del file allegato è uno dei seguenti:
   • album
   • fotografia
   • fotos
   • album_de_foto
   • minhas_fotos

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato è una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp

Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • joao; alex; michel; michele; james; marcos; felipe; davi; george;
      samuel; andre; andreia; jose; leonardo; maria; georgia; bernardo;
      sergio; joana; luis; raimundo; tom; patricia; roberto; roberta;
      tercio; fernando; daniela; diego; steve; fernanda; luisa; adriana;
      bruno; david; samanta; fred; rafael; luiza; afonso; breno; alice; ana;
      brenda; claudia; marcela; debora; helen; helena; simone; lucas;
      juliana; adriano; sandra; sandro; barbara; bruna; rafaela

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!@; -._!; avp; syma; icrosof; msn.; panda; sopho; borlan; inpris;
      example; mydomai; nodomai; ruslis; berkeley; unix; math; bsd; mit.e;
      gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana; ietf;
      rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst; pgp;
      tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; me; bugs; rating; site; contact; soft; no; somebody; privacy;
      service; help; not; submit; feste; ca; gold-certs; the.bat; page;
      abuse; admin; lista; icrosoft; support; ntivi; listserv; certific;
      accoun; spm; fcnz; www

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:   Recupera la cartella condivisa interrogando la seguente chiave di registro:
   • Software\Kazaa\Transfer

   Se riuscito, i seguenti file vengono creati:
   • activation_crack.exe; icq2004-final.exe; nuke2004.exe;
      office_crack.exe; rootkitXP.exe; strip-girl-2.0bdcom_patches.exe;
      winamp5.exe; activation_crack.bat; icq2004-final.bat; nuke2004.bat;
      office_crack.bat; rootkitXP.bat; strip-girl-2.0bdcom_patches.bat;
      winamp5.bat; activation_crack.pif; icq2004-final.pif; nuke2004.pif;
      office_crack.pif; rootkitXP.pif; strip-girl-2.0bdcom_patches.pif;
      winamp5.pif; activation_crack.scr; icq2004-final.scr; nuke2004.scr;
      office_crack.scr; rootkitXP.scr; strip-girl-2.0bdcom_patches.scr;
      winamp5.scr; ;

   Questi file sono copie del malware stesso.

Varie Mutex:
Crea il seguente Mutex:
• SwebSipcSmtxS0

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Ana Maria Niculescu il Thu, 04 Oct 2007 16:10 (GMT+1)
Descrizione aggiornata da Ana Maria Niculescu il Tue, 09 Oct 2007 08:28 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back