Full description

Nume:	Worm/Mydoom.M.unp
Descoperit pe data de:	26/07/2004
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	41.408 Bytes
MD5:	6e821a45f567011c1aa88822efc14193
Versiune VDF:	6.26.00.44

General Metoda de raspandire:
   • Email

Alias:
   • Symantec: W32.Mydoom.AZ@mm
   • Mcafee: W32/Mydoom.o@MM
   • Kaspersky: Email-Worm.Win32.Mydoom.am
   • TrendMicro: WORM_MYDOOM.M
   • Sophos: W32/MyDoom-BC
   • Grisoft: I-Worm/Mydoom
   • VirusBuster: I-Worm.Mydoom.AJ1
   • Eset: Win32/Mydoom.AX
   • Bitdefender: Win32.Mydoom.AQ@mm

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului

Fisiere Se copiaza in urmatoarea locatie:
• %WINDIR%\java.exe

Este creat fisierul:

– %WINDIR%\services.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Tr/Mydoom.BB.1

Incearca sa descarce un fisier:

– Adresa este urmatoarea:
• www.imogenheap.co.uk/iblog/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "JavaVM"="%WINDIR%\java.exe"

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.

Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Catre: adresele colectate prin motoare de cautare

Subiect:
Unul din urmatoarele:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

In plus, subiectul email-ului ar putea contine litere aleatoare.

Corpul email-ului:
–  Este alcatuit printr-o expresie regulata.
– Uneori corpul email-ului este gol.
– Uneori poate contine caractere aleatoare.

Corpul email-ului este unul din textele:

   • Dear user {%adresa destinatarului% |of %domeniul destinatarului% },{ {{M|m}ail {system|server} administrator|administration} of %domeniul destinatarului% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}

     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.

     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},

     {%domeniul destinatarului% {user |technical |}support team.|The %domeniul destinatarului% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:

     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

     Your message {was not|could not be} delivered within %numar% days:
     {{{Mail s|S}erver}|Host} %adresa IP aleatoare% is not responding.

     The following recipients {did|could} not receive this message
     %adresa expeditorului%

     Please reply to postmaster@{%domeniul expeditorului% |%domeniul destinatarului%} if you feel this message to be in error

   • The original message was received at %data curenta%{| }from {%domeniul expeditorului% [%adresa IP aleatoare%]}

     ----- The following addresses had permanent fatal errors -----

     {<%domeniul destinatarului%>|%domeniul destinatarului%}

     {----- Transcript of {the ||}session follows -----

     ... while talking to {host |{mail |}server ||||}{%domeniul destinatarului%.|%adresa IP aleatoare%}:

     {>>> MAIL F{rom|ROM}:%domeniul expeditorului%

     <<< 50%numar% {%domeniul expeditorului% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%domeniul destinatarului%>... {Mail quota exceeded|Message is too large}

     554 <%domeniul destinatarului%>... Service unavailable|550 5.1.2 <%domeniul destinatarului%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%adresa IP aleatoare%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}

     Session aborted{, reason: lost connection|}|>>> RCPT To:<%domeniul destinatarului%>

     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%domeniul destinatarului%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA

     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment


   • {{The|Your} m|M}essage could not be delivered

Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

– Incepe cu unul din urmatoarele:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

Atasamentul este o copie malware.

Atasamentul este o arhiva ce contine chiar o copie malware.

Email-ul arata astfel:

Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • doc
   • txt
   • htm
   • html

Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem

Motor de cautare:
Pentru a colecta mai multe adrese de email, se conecteaza la urmatoarele motoare de cautare:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/

Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp

Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • mx.
   • mail.
   • smtp.

Alte informatii Mutex:
Creeaza urmatorul mutex:
• %computername%root%computername%rootx%computername%root%computername%rootxx

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descrição enviada por Irina Boldea em quinta-feira, 18 de maio de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 22 de maio de 2006

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas