Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mydoom.L.2
Data em que surgiu:19/07/2004
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:78.756 Bytes
MD5 checksum:a3026f698ac9b0c575f7ac39f1082e01
Verso VDF:6.26.00.35

 Vulgarmente Meios de transmisso:
   • E-mail
   • Peer to Peer


Alias:
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %WINDIR%\lsass.exe



criado o seguinte ficheiro:

– Ficheiro que contm uma coleco de endereos de email:
   • %TEMPDIR%\%uma srie de caracteres aleatrios%.txt

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
O corpo do email um dos seguintes:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %vrios dgitos aleatrios% days:
     Host %endereo IP aleatrio% is not responding.
     
     The following recipients did not receive this message:
     %endereo de e-mail do destinatrio%
     
     Please reply to postmaster@%domnio do rementente%
     if you feel this message to be in error.

   • The original message was received at Tue, %data actual% %hora actual%
     from %domnio do destinatrio% [%endereo IP aleatrio%]
     
     ----- The following addresses had permanent fatal errors -----
     %endereo de e-mail do destinatrio%
     
     ----- Transcript of session follows -----
      while talking to %domnio do destinatrio%.:
     >>> MAIL From:%endereo de e-mail do remetente%
     <<< 501 %endereo de e-mail do remetente%... Refused

   • The original message was received at Tue, %data actual% %hora actual%
     from %domnio do destinatrio% [%endereo IP aleatrio%]
     
     ----- The following addresses had permanent fatal errors -----
     %endereo de e-mail do destinatrio%


Atalho:
Os nomes dos ficheiros de atalhos so construdos a partir dos seguintes:

–  Comea por um dos seguintes:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    A extenso do ficheiro uma das seguintes:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

O ficheiro de atalho uma cpia do malware.

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • doc
   • txt
   • htm
   • html


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • mx.
   • mail.
   • smtp.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


   Procura directrios com os seguintes textos:
   • incoming
   • ftproot
   • download
   • shar

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Os ficheiros so cpias do prprio malware.

 Terminar o processo So terminados os processos que contm um dos seguintes nomes de classe :
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Backdoor  aberta a seguinte porta:

%directrio de execuo do malware%\%ficheiro executado% numa porta TCP 1042 Por forma a fornecer capacidades backdoor.

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.

Descrição enviada por Irina Boldea em terça-feira, 28 de fevereiro de 2006
Descrição atualizada por Robert Harja Iliescu em terça-feira, 5 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.