Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Mydoom.L.2
Data em que surgiu:19/07/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:78.756 Bytes
MD5 checksum:a3026f698ac9b0c575f7ac39f1082e01
Versão VDF:6.26.00.35

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\lsass.exe



É criado o seguinte ficheiro:

– Ficheiro que contém uma colecção de endereços de email:
   • %TEMPDIR%\%uma série de caracteres aleatórios%.txt

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

O assunto pode, também, ter caracteres aleatórios.


Corpo:
O corpo do email é um dos seguintes:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %vários dígitos aleatórios% days:
     Host %endereço IP aleatório% is not responding.
     
     The following recipients did not receive this message:
     %endereço de e-mail do destinatário%
     
     Please reply to postmaster@%domínio do rementente%
     if you feel this message to be in error.

   • The original message was received at Tue, %data actual% %hora actual%
     from %domínio do destinatário% [%endereço IP aleatório%]
     
     ----- The following addresses had permanent fatal errors -----
     %endereço de e-mail do destinatário%
     
     ----- Transcript of session follows -----
      while talking to %domínio do destinatário%.:
     >>> MAIL From:%endereço de e-mail do remetente%
     <<< 501 %endereço de e-mail do remetente%... Refused

   • The original message was received at Tue, %data actual% %hora actual%
     from %domínio do destinatário% [%endereço IP aleatório%]
     
     ----- The following addresses had permanent fatal errors -----
     %endereço de e-mail do destinatário%


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

O ficheiro de atalho é uma cópia do malware.

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • doc
   • txt
   • htm
   • html


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


   Procura directórios com os seguintes textos:
   • incoming
   • ftproot
   • download
   • shar

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Os ficheiros são cópias do próprio malware.

 Terminar o processo São terminados os processos que contêm um dos seguintes nomes de classe :
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Backdoor É aberta a seguinte porta:

%directório de execução do malware%\%ficheiro executado% numa porta TCP 1042 Por forma a fornecer capacidades backdoor.

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Descrição enviada por Irina Boldea em terça-feira, 28 de fevereiro de 2006
Descrição atualizada por Robert Harja Iliescu em terça-feira, 5 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.