Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Mydoom.AS.1
Data em que surgiu:27/04/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:86.637 Bytes
MD5 checksum:06ad8f6017e0d638481d877af8881e4f
Versão VDF:6.30.00.141 - quarta-feira, 27 de abril de 2005
Versão IVDF:6.30.00.141 - quarta-feira, 27 de abril de 2005

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Mcafee: W32/Mydoom.bn@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.as
   •  TrendMicro: WORM_MYDOOM.AQ
   •  F-Secure: Email-Worm.Win32.Mydoom.as
   •  Sophos: W32/MyDoom-BN
   •  Panda: W32/Mydoom.BJ.worm
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.BJ
   •  Eset: Win32/Mydoom.BC
   •  Bitdefender: Win32.Worm.Mydoom.BJ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\taskmon.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TaskMon="%SYSDIR%\taskmon.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TaskMon="%SYSDIR%\taskmon.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • Oi a quanto tempo... =)
   • Eu nao ti vejo a muito tempo.
   • Duvido voce me reconher =)
   • Voce me reconhece??
   • Saudades de voce!!!
   • lembra de mim??
   • estou longe!!
   • Eu te amo



Corpo:
O corpo do email é o seguinte:
   • Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • album
   • fotografia
   • fotos
   • album_de_foto
   • minhas_fotos

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • joao; alex; michel; michele; james; marcos; felipe; davi; george;
      samuel; andre; andreia; jose; leonardo; maria; georgia; bernardo;
      sergio; joana; luis; raimundo; tom; patricia; roberto; roberta;
      tercio; fernando; daniela; diego; steve; fernanda; luisa; adriana;
      bruno; david; samanta; fred; rafael; luiza; afonso; breno; alice; ana;
      brenda; claudia; marcela; debora; helen; helena; simone; lucas;
      juliana; adriano; sandra; sandro; barbara; bruna; rafaela



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • -._!@; -._!; avp; syma; icrosof; msn.; panda; sopho; borlan; inpris;
      example; mydomai; nodomai; ruslis; berkeley; unix; math; bsd; mit.e;
      gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana; ietf;
      rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst; pgp;
      tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; me; bugs; rating; site; contact; soft; no; somebody; privacy;
      service; help; not; submit; feste; ca; gold-certs; the.bat; page;
      abuse; admin; lista; icrosoft; support; ntivi; listserv; certific;
      accoun; spm; fcnz; www


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:   Obtém a pasta partilhada examinando a chave de registo seguinte:
   • Software\Kazaa\Transfer

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • activation_crack.exe; icq2004-final.exe; nuke2004.exe;
      office_crack.exe; rootkitXP.exe; strip-girl-2.0bdcom_patches.exe;
      winamp5.exe; activation_crack.bat; icq2004-final.bat; nuke2004.bat;
      office_crack.bat; rootkitXP.bat; strip-girl-2.0bdcom_patches.bat;
      winamp5.bat; activation_crack.pif; icq2004-final.pif; nuke2004.pif;
      office_crack.pif; rootkitXP.pif; strip-girl-2.0bdcom_patches.pif;
      winamp5.pif; activation_crack.scr; icq2004-final.scr; nuke2004.scr;
      office_crack.scr; rootkitXP.scr; strip-girl-2.0bdcom_patches.scr;
      winamp5.scr; ;

   Os ficheiros são cópias do próprio malware.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • SwebSipcSmtxS0

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ana Maria Niculescu em quinta-feira, 4 de outubro de 2007
Descrição atualizada por Ana Maria Niculescu em terça-feira, 9 de outubro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.