VírusWorm/Mydoom.M.unp
Data em que surgiu:26/07/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:41.408 Bytes
MD5 checksum:6e821a45f567011c1aa88822efc14193
Versão VDF:6.26.00.44

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Mydoom.AZ@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.am
   •  TrendMicro: WORM_MYDOOM.M
   •  Sophos: W32/MyDoom-BC
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.AJ1
   •  Eset: Win32/Mydoom.AX
   •  Bitdefender: Win32.Mydoom.AQ@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\java.exe



É criado o seguinte ficheiro:

%WINDIR%\services.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Tr/Mydoom.BB.1




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • www.imogenheap.co.uk/iblog/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "JavaVM"="%WINDIR%\java.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços recolhidos contactando motores de pesquisa


Assunto:
Um dos seguintes:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

O assunto pode, também, ter caracteres aleatórios.


Corpo:
–  É construído utilizando expressões regulares.
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email é um dos seguintes:

   • Dear user {%endereço de e-mail do destinatário% |of %domínio do destinatário% },{ {{M|m}ail {system|server} administrator|administration} of %domínio do destinatário% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
     
     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
     
     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
     
     {%domínio do destinatário% {user |technical |}support team.|The %domínio do destinatário% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
     
     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
     
     Your message {was not|could not be} delivered within %número% days:
     {{{Mail s|S}erver}|Host} %endereço IP aleatório% is not responding.
     
     The following recipients {did|could} not receive this message
     %endereço de e-mail do remetente%
     
     Please reply to postmaster@{%domínio do rementente% |%domínio do destinatário%} if you feel this message to be in error

   • The original message was received at %data actual%{| }from {%domínio do rementente% [%endereço IP aleatório%]}
     
     ----- The following addresses had permanent fatal errors -----
     
     {<%domínio do destinatário%>|%domínio do destinatário%}
     
     {----- Transcript of {the ||}session follows -----
     
     ... while talking to {host |{mail |}server ||||}{%domínio do destinatário%.|%endereço IP aleatório%}:
     
     {>>> MAIL F{rom|ROM}:%domínio do rementente%
     
     <<< 50%número% {%domínio do rementente% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%domínio do destinatário%>... {Mail quota exceeded|Message is too large}
     
     554 <%domínio do destinatário%>... Service unavailable|550 5.1.2 <%domínio do destinatário%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%endereço IP aleatório%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
     
     Session aborted{, reason: lost connection|}|>>> RCPT To:<%domínio do destinatário%>
     
     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%domínio do destinatário%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
     
     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment
     

   • {{The|Your} m|M}essage could not be delivered


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

O ficheiro de atalho é uma cópia do malware.

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • doc
   • txt
   • htm
   • html


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Motor de pesquisa
De forma a recolher mais endereços de e-mail contacta os seguintes motores de pesquisa:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • %computername%root%computername%rootx%computername%root%computername%rootxx

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Irina Boldea em quinta-feira, 18 de maio de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 22 de maio de 2006

Voltar . . . .