Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mydoom.BT
Data em que surgiu:22/06/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:24.576 Bytes
MD5 checksum:d102de7a1ec7b37db2cb0936e51f8509
Verso VDF:6.31.00.92

 Vulgarmente Meios de transmisso:
   • E-mail
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Mydoom.au
   •  Grisoft: I-Worm/Mytob.JE
   •  VirusBuster: I-Worm.Mytob.EK1
   •  Eset: Win32/Mydoom.BH


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\caca.exe



criado o seguinte ficheiro:

%SYSDIR%\systemcall.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Mydoom.BT.DLL

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Caca"="%SYSDIR%\caca.exe"



adicionada a seguinte chave de registo:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • @="%SYSDIR%\systemcall.dll"
   • "ThreadingModel"="Apartment"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • Error
   • Status
   • hello
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System



Corpo:
O corpo do email tem uma das seguintes linhas:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Atalho:
O nome do ficheiro de atalho construdo a partir do seguinte:

–  Comea por um dos seguintes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    A extenso do ficheiro uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho uma cpia do malware.

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Endereos gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina isto com domnios encontrados numa lista ou endereos encontrados em ficheiros no sistema.

Tem um dos seguintes domnios:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


   Obtm a pasta partilhada examinando a chave de registo seguinte:
   • HKCU\Software\Kazaa\Transfer

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • nuke2004
   • office_crack
   • rootkitXP
   • winamp5
   • icq2004-final
   • activation_crack
   • strip-girl-2.0bdcom_patches

   Os ficheiros so cpias do prprio malware.

 Backdoor  aberta a seguinte porta:

%directrio de execuo do malware%\%ficheiro executado% numa porta TCP 3127 de forma a fornecer um servidor proxy Socks 4.

 DoS Logo que torna activo, inicia um ataque DoS contra o seguinte destino:
   • www.sco.com

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Irina Boldea em segunda-feira, 23 de outubro de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 6 de novembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.