Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mydoom.CD
Data em que surgiu:21/03/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:28.160 Bytes
MD5 checksum:eda0ab20b95a3722b04101490D340E20
Verso VDF:6.34.00.76

 Vulgarmente Meios de transmisso:
   • E-mail
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Gurong.a
   •  TrendMicro: WORM_MYDOOM.BK

Identificado anteriormente como:
     Worm/Mydoom.CD.2


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\wmedia16.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

– Ficheiros temporrios que poderam ser apagados mais tarde:
   • %TEMPDIR%\removeMe%nmero% .bat
   • %TEMPDIR%\tmp%nmero hexadecimal%.tmp




Tenta efectuar o download do ficheiro:

A partir das seguintes localizaes:
   • 65.19.**********
   • 64.62.**********
Encontra-se no disco rgido: c:\mp.exe Alm disso executa-se depois do download estar completo. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Mydoom.CD.1

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WMedia16 = wmedia16.exe

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
– Endereos gerados


Assunto:
Um dos seguintes:
   • Re: I got it! Try it now!
   • Re[2]: wazzup bro
   • Re: Hello
   • Greetings!
   • Hey dear!
   • Hello friend ;)
   • Wazzap bro!!
   • Hey! How are you doing bud?

Nalguns casos o assunto pode no conter texto.
O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatrios.
O corpo do email tem uma das seguintes linhas:
   • Hey dear! Here is my photos, as I promised.
   • Hello bro! Here is my new girlfriend's photo! Check it out!
   • Hey man! Take a look at attachment!
   • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
   • Whatz up man! There is my nude 17-yr sister in the attachment!
   • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
   • Greetings. Here is some my nude photos in the attachment.
   • Hey bro! Check out attachment! There is a new plug-in for skype!
   • Hello! I sent you new skype plug-in, as you wished.
   • Hello! There is NEW plug-in for MSN. Try it out!
   • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
   • Hey friend! Try this new smiles pack for MSN messenger!


Atalho:
O nome do ficheiro de atalho construdo a partir do seguinte:

–  Comea por um dos seguintes:
   • body
   • i_love_u
   • i_luv_u
   • conf_data
   • port_imgs
   • sex_pics
   • doc
   • sex_girls
   • document
   • %uma srie de caracteres aleatrios%

    A extenso do ficheiro uma das seguintes:
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • txt
   • htm
   • sht
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab


Endereos gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereos:
   • john; john; alex; michael; james; mike; kevin; david; george; sam;
      andrew; jose; sandra; den; dmitry; vlad; alexey; olga; leo; maria;
      jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; linda;
      craig; jayson; lee; cyber; frank; joe; dan; dave; matt; steve; smith;
      adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy;
      julie; linda; marina; vladimir; nikolay; gerhard; ilya; boris

Combina isto com domnios encontrados numa lista ou endereos encontrados em ficheiros no sistema.

Tem um dos seguintes domnios:
   • yahoo.com
   • msn.com
   • earthlink.net
   • aol.com
   • hotmail.com


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .aero; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      alert; page; the.bat; fethard; gold-certs; feste; submit; not; help;
      service; privacy; somebody; soft; contact; site; rating; bugs; you;
      your; someone; AccountRobot; anyone; nothing; nobody; noone;
      webmaster; webmoney; postmaster; samples; info; root; fraud; accoun;
      google; certific; listserv; linux; bsd; unix; ntivi; support;
      icrosoft; admin; spm; fcnz; www; secur; abuse; .edu;


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


   Obtm a pasta partilhada examinando a chave de registo seguinte:
   • HCKU\Software\Kazaa\Transfer\DlDir0

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • winamp5.bat; icq5.bat; xp_activation.bat; strip-girl4.bat0c.bat;
      dcom_patches.bat; lsas_patches.bat; msblast_patches.bat;
      skype_video.bat; 0day_patch.bat; office_crack.bat;
      trillian_crack_all.bat; winamp5.cmd; icq5.cmd; xp_activation.cmd;
      strip-girl4.cmd0c.cmd; dcom_patches.cmd; lsas_patches.cmd;
      msblast_patches.cmd; skype_video.cmd; 0day_patch.cmd;
      office_crack.cmd; trillian_crack_all.cmd; winamp5.exe; icq5.exe;
      xp_activation.exe; strip-girl4.exe0c.exe; dcom_patches.exe;
      lsas_patches.exe; msblast_patches.exe; skype_video.exe;
      0day_patch.exe; office_crack.exe; trillian_crack_all.exe; winamp5.pif;
      icq5.pif; xp_activation.pif; strip-girl4.pif0c.pif; dcom_patches.pif;
      lsas_patches.pif; msblast_patches.pif; skype_video.pif;
      0day_patch.pif; office_crack.pif; trillian_crack_all.pif; winamp5.scr;
      icq5.scr; xp_activation.scr; strip-girl4.scr0c.scr; dcom_patches.scr;
      lsas_patches.scr; msblast_patches.scr; skype_video.scr;
      0day_patch.scr; office_crack.scr; trillian_crack_all.scr; winamp5.zip;
      icq5.zip; xp_activation.zip; strip-girl4.zip0c.zip; dcom_patches.zip;
      lsas_patches.zip; msblast_patches.zip; skype_video.zip;
      0day_patch.zip; office_crack.zip; trillian_crack_all.zip

   Os ficheiros so cpias do prprio malware.

 Informaes diversas Ligao internet:


Procura uma ligao de internet contactando o seguinte web site:
   • http://windowsupdate.microsoft.com


Mutex:
Cria o seguinte Mutex:
   • systemHNDLR9r21

 Tecnologia de Rootkit  uma tecnologia malware-especfica. O malware esconde-se de utilitrios de sistema, aplicaes de segurana e, do utilizador.


Oculta o seguinte:
– O seu prprio ficheiro
– O seu prprio processo
– A sua prpria chave de registo


Forma utilizada
     Esconde-se na API do Windows

Bloqueia as seguintes funes API:
   • NtClose/ZwClose
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKEy
   • NtOpenFile/ZWOpenFile
   • NtQueryDirectoryFile/ZwQueryDirectoryFile

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em quarta-feira, 22 de março de 2006
Descrição atualizada por Andrei Gherman em quinta-feira, 30 de março de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.