VírusWorm/Mydoom.CD
Data em que surgiu:21/03/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:28.160 Bytes
MD5 checksum:eda0ab20b95a3722b04101490D340E20
Versão VDF:6.34.00.76

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Gurong.a
   •  TrendMicro: WORM_MYDOOM.BK

Identificado anteriormente como:
   •  Worm/Mydoom.CD.2


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wmedia16.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %TEMPDIR%\removeMe%número% .bat
   • %TEMPDIR%\tmp%número hexadecimal%.tmp




Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • 65.19.**********
   • 64.62.**********
Encontra-se no disco rígido: c:\mp.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Mydoom.CD.1

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WMedia16 = wmedia16.exe

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços gerados


Assunto:
Um dos seguintes:
   • Re: I got it! Try it now!
   • Re[2]: wazzup bro
   • Re: Hello
   • Greetings!
   • Hey dear!
   • Hello friend ;)
   • Wazzap bro!!
   • Hey! How are you doing bud?

Nalguns casos o assunto pode não conter texto.
O assunto pode, também, ter caracteres aleatórios.


Corpo:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatórios.
O corpo do email tem uma das seguintes linhas:
   • Hey dear! Here is my photos, as I promised.
   • Hello bro! Here is my new girlfriend's photo! Check it out!
   • Hey man! Take a look at attachment!
   • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
   • Whatz up man! There is my nude 17-yr sister in the attachment!
   • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
   • Greetings. Here is some my nude photos in the attachment.
   • Hey bro! Check out attachment! There is a new plug-in for skype!
   • Hello! I sent you new skype plug-in, as you wished.
   • Hello! There is NEW plug-in for MSN. Try it out!
   • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
   • Hey friend! Try this new smiles pack for MSN messenger!


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • body
   • i_love_u
   • i_luv_u
   • conf_data
   • port_imgs
   • sex_pics
   • doc
   • sex_girls
   • document
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • txt
   • htm
   • sht
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab


Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • john; john; alex; michael; james; mike; kevin; david; george; sam;
      andrew; jose; sandra; den; dmitry; vlad; alexey; olga; leo; maria;
      jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; linda;
      craig; jayson; lee; cyber; frank; joe; dan; dave; matt; steve; smith;
      adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy;
      julie; linda; marina; vladimir; nikolay; gerhard; ilya; boris

Combina isto com domínios encontrados numa lista ou endereços encontrados em ficheiros no sistema.

Tem um dos seguintes domínios:
   • yahoo.com
   • msn.com
   • earthlink.net
   • aol.com
   • hotmail.com


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .aero; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      alert; page; the.bat; fethard; gold-certs; feste; submit; not; help;
      service; privacy; somebody; soft; contact; site; rating; bugs; you;
      your; someone; AccountRobot; anyone; nothing; nobody; noone;
      webmaster; webmoney; postmaster; samples; info; root; fraud; accoun;
      google; certific; listserv; linux; bsd; unix; ntivi; support;
      icrosoft; admin; spm; fcnz; www; secur; abuse; .edu;


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


   Obtém a pasta partilhada examinando a chave de registo seguinte:
   • HCKU\Software\Kazaa\Transfer\DlDir0

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • winamp5.bat; icq5.bat; xp_activation.bat; strip-girl4.bat0c.bat;
      dcom_patches.bat; lsas_patches.bat; msblast_patches.bat;
      skype_video.bat; 0day_patch.bat; office_crack.bat;
      trillian_crack_all.bat; winamp5.cmd; icq5.cmd; xp_activation.cmd;
      strip-girl4.cmd0c.cmd; dcom_patches.cmd; lsas_patches.cmd;
      msblast_patches.cmd; skype_video.cmd; 0day_patch.cmd;
      office_crack.cmd; trillian_crack_all.cmd; winamp5.exe; icq5.exe;
      xp_activation.exe; strip-girl4.exe0c.exe; dcom_patches.exe;
      lsas_patches.exe; msblast_patches.exe; skype_video.exe;
      0day_patch.exe; office_crack.exe; trillian_crack_all.exe; winamp5.pif;
      icq5.pif; xp_activation.pif; strip-girl4.pif0c.pif; dcom_patches.pif;
      lsas_patches.pif; msblast_patches.pif; skype_video.pif;
      0day_patch.pif; office_crack.pif; trillian_crack_all.pif; winamp5.scr;
      icq5.scr; xp_activation.scr; strip-girl4.scr0c.scr; dcom_patches.scr;
      lsas_patches.scr; msblast_patches.scr; skype_video.scr;
      0day_patch.scr; office_crack.scr; trillian_crack_all.scr; winamp5.zip;
      icq5.zip; xp_activation.zip; strip-girl4.zip0c.zip; dcom_patches.zip;
      lsas_patches.zip; msblast_patches.zip; skype_video.zip;
      0day_patch.zip; office_crack.zip; trillian_crack_all.zip

   Os ficheiros são cópias do próprio malware.

 Informações diversas Ligação à internet:


Procura uma ligação de internet contactando o seguinte web site:
   • http://windowsupdate.microsoft.com


Mutex:
Cria o seguinte Mutex:
   • systemHNDLR9r21

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– O seu próprio ficheiro
– O seu próprio processo
– A sua própria chave de registo


Forma utilizada
    • Esconde-se na API do Windows

Bloqueia as seguintes funções API:
   • NtClose/ZwClose
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKEy
   • NtOpenFile/ZWOpenFile
   • NtQueryDirectoryFile/ZwQueryDirectoryFile

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em quarta-feira, 22 de março de 2006
Descrição atualizada por Andrei Gherman em quinta-feira, 30 de março de 2006

Voltar . . . .