Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mydoom.BH.1
Data em que surgiu:31/08/2007
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Mdio
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:131.072 Bytes
MD5 checksum:1aec7aebd916c3862131af0F7fe46da2
Verso VDF:6.39.01.017
Verso IVDF:6.39.01.018

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Mcafee: W32/Mydoom.gen@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.bh
   •  F-Secure: Email-Worm.Win32.Mydoom.bh
   •  Sophos: W32/MyDoom-BX
   •  Panda: W32/Mydoom.DL.worm
   •  Grisoft: I-Worm/Generic.BXO
   •  Eset: Win32/Mydoom.NA
   •  Bitdefender: Generic.Mydoom.4C96A5D8


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Bloqueia o acesso a Web sites de segurana
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\dvupdate.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %TEMPDIR%\tmp%nmero hexadecimal%.tmp

%TEMPDIR%\%uma srie de caracteres aleatrios%.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Driver Update="%SYSDIR%\dvupdate.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • A friendly warning
   • Greetings. Please read on.
   • Hello there! Read on.
   • Hey, just warning you
   • HEY, THIS IS KINDA URGENT
   • Some important information
   • You might want to read this...
   • You need to protect yourself

Nalguns casos o assunto pode no conter texto.
O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
  construdo utilizando expresses regulares.
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatrios.


O corpo do email um dos seguintes:

   • I don't know if you have heard yet or not but there's a deadly computer virus going around lately...
     I got caught by it the other day and lost all my files.
     Luckily Microsoft just released a fix which will protect you from it.
     I've attached the fix to this email, so you'll be fine if you install it
     Please open the attached file. It contains very important information concerning you.

   • Please open the attached file. It contains very important information concerning you.

   • I found a file that has a lot of information about YOU in it, I thought you might want to know about it.
     It's attached to this email, so open it if you're interested.

   • Hey, I assume you've heard about that new computer virus?
     A friend of mine got hit by it the other day and lost EVERY file on his compuiter.
     I attached a fix for it to this email, so you should be fine if you install it.
     Good luck!


Atalho:
O nome do ficheiro de atalho construdo a partir do seguinte:

–  Comea por um dos seguintes:
   • ReadMe_TXT
   • ReadThisNow_TXT
   • UrgentInfo
   • MSWinFix
   • MSHotFix_Latest
   • Latest_Patch
   • Info_Doc
   • ImportantInfo
   • %uma srie de caracteres aleatrios%

    A extenso do ficheiro uma das seguintes:
   • .exe
   • .zip

O ficheiro de atalho uma cpia do malware.

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Usa a mesma lista de domnios como mencionado anteriormente.

Tem um dos seguintes domnios:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; -._!@; -._!;
      spm; fcnz; www; abuse; .edu


MX Server:
No usa o servidor de MX standard.
Tem capacidade para contactar um dos seguintes servidores MX:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

Neste caso valores existentes sero alterados.

O acesso aos seguintes domnios bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




O ficheiro hospedeiro (alterado) ter a seguinte aparncia:


 Backdoor Contacta o servidor:
Seguinte:
   • io.phatnet.**********:7001

Como resultado dada capacidade de controlo remoto.

Envia informao sobre:
     Tempo de vida do malware


Capacidades de controlo remoto:
     Download de ficheiros
     Executa o ficheiro
     Termina processos
     Move ficheiro

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • doom1

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Monica Ghitun em quarta-feira, 3 de outubro de 2007
Descrição atualizada por Monica Ghitun em quinta-feira, 4 de outubro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.