Buscador
- | Inicio
- Seguridad
- INTECO-CERT
- Actualidad
- Virus
- Detalle de virus
Detalle de virus
Variante de Mydoom.M de rápida propagación gracias a su propio motor de envío SMTP(Simple Mail Transfer Protocol), que se enviará sobre direcciones contenidas en la Libreta de Direcciones de Windows (WAB Windows Address Book). También puede propagarse sobre direcciones contenidas en ficheros temporales de internet, así como las existentes en ficheros con determinadas extensiones, aunque intentará evitar aquellas que contengan determinadas cadenas de texto correspondientes a instituciones, fabricantes antivirus y listas Abuse. Cuando encuentra una dirección, utiliza los siguientes motores de búsqueda para localizar direcciones del mismo dominio. http://search.lycos.com http://www.altavista.com http://search.yahoo.com http://www.google.com Utiliza técnicas de ingeniería social haciéndose pasar por una notificación de la entrega erronea de un mensaje enviado. También posee capacidades para actuar como puerta trasera, que dejarían la máquina infectada expuesta a posteriores ataques. Para ello, descarga un fichero que será copiado como SERVICES.EXE en la carpeta de Windows, que cuando es ejecutado abre el puerto TCP 1034 y espera conexiones externas del atacante, que podrá llegar a tomar el control absoluto de la máquina. También descarga y ejecuta un troyano de puerta trasera a través del cual, un atacante puede tomar el control de la máquina infectada.
Detalles técnicos
- Peligrosidad: 3 - Media
- [Explicación de los criterios]
- Difusión: Media
- Daño: Medio
- Dispersibilidad: Alta
- Fecha de alta: 17/02/2005
- Última actualización: 10/12/2009
- Nombre completo del virus: Worm.W32/Mydoom.BB@MM
- Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
-
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
- Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Tamaño (bytes): 25.771
-
Alias:
- W32.Mydoom.AX@mm (Otros)
- WORM_MYDOOM.M (Trend Micro)
- WORM_MYDOOM.AU (Trend Micro)
- WORM_MYDOOM.BB (Trend Micro)
- W32/MyDoom-AR (Trend Micro)
- WORM_MYDOOM.AY (Trend Micro)
- WORM_MYDOOM.GEN (Trend Micro)
- WORM_MyDoom.DAM (Trend Micro)
- W32/MyDoom-O (Sophos)
- W32/Mydoom.AO.worm (Panda Security)
- W32/Mydoom.bb@MM (McAfee)
- Win32/Mydoom.AV (ClamAV)
- HTML.Mydoom.email-gen-1 (ClamAV)
- Win32/Mydoom.AX (ClamAV)
- MyDoom.BB (F-Secure)
- W32/Mydoom.AY@mm (Computer Associates)
- Win32.Mydoom.AU (Computer Associates)
- W32/Mydoom.AX@mm (Computer Associates)
- W32/Mydoom.AW@mm (Computer Associates)
- Worm.Mydoom.Gen-1 (Otros)
- Win32.Mydoom.AQ@mm (Bit Defender)
- W32/MyDoom.AQ@mm (Norman)
- MyDoom.AO@mm (Norman)
- MyDoom.AQ@mm (Norman)
- Email-Worm.Win32.Mydoom.m (Kaspersky)
- Email-Worm.Win32.Mydoom.m.log (Kaspersky)
- I-Worm.MyDoom.gen (Kaspersky)
- Win32/Mydoom.AW (Enciclopedia Virus)
Propagación
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Asunto: Alguno de los siguientes
-
Returned mail: Data format error
-
Returned mail: see transcript for details
-
Delivery reports about your e-mail
-
Mail System Error - Returned Mail
-
Message could not be delivered
-
delivery failed
-
report
-
test
-
status
-
hi error
-
hello
-
The/Your m/Message could not be delivered
-
The original message was included as attachment
Adjunto: Alguno de los mostrados a continuación
-
CMD
-
HTML
-
HTM
-
TXT
-
DOC
-
.BAT
-
.PIF
-
.EXE
-
.SCR
-
.COM
-
.ZIP
Infección/Efectos
Cuando Mydoom.BB se ejecuta, realiza las siguientes acciones:
Otros detalles
Instalación
Cuando se ejecuta, deja una copia de si mismo con el nombre JAVA.EXE en la carpeta de Windows
Crea la siguiente entrada en el registro con los valores indicados para iniciarse junto al arranque de Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run JavaVM = "%Windows%\java.exe" Services = "%Windows%\services.exe"(Nota: %Windows% representa las carpetas C:\Windows o C:\WINNT.)
También crea las siguientes entradas como marca de infección, para evitar que se ejecute de forma concurrente mas de una copia del gusano:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon HKEY_CURRENT_USER\Software\Microsoft\DaemonIntentará cerrar todas las ventanas abiertas que correspondan con alguna de las siguientes aplicaciones:
- Internet Explorer
- Microsoft Outlook
- Outlook Express
Propagación por correo
Se propaga por correo utilizando su propio motor SMTP (Simple Mail Transfer Protocol) para el envío de mensajes.
Inicialmente comprueba la conexión a internet y trata de conectarse al servidor DNS local. A continuación comprueba que coinciden los nombres de dominio del intercambiador de correo y de la bandeja del usuario, para poder utilizarlo como Servidor SMTP.
Recopila las direcciones de correo que encuentre en la libreta de direcciones de Windows (Windows Address Book. WAB), así como de ficheros existentes en la carpeta de ficheros temporales de internet y de aquellos otros ficheros con las siguientes extensiones:
De las direcciones encontradas utilizará el dominio para interrogar a los siguientes motores de búsqueda en internet con objeto de localizar nuevas direcciones para propagarse:
- http://search.lycos.com
- http://www.altavista.com
- http://search.yahoo.com
- http://www.google.com
- The original message was included as attachment
- The/Your m/Message could not be delivered
- hello
- hi error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
También puede contener la dirección de correo del destinatario.
Dear user {$t of $T},{ {{M m}ail {system server} administrator administration} of $T would like to {inform you{ that{: ,} } let you know {that the following}{. : ,}} }
{We have {detected found received reports} that y Y}our {e{- }mail }account {has been was} used to send a {large huge} amount of {{unsolicited{ commercial } junk} e{- }mail spam}{ messages } during {this the {last recent}} week.
{We suspect that Probably, Most likely Obviously,} your computer {had been was} {compromised infected{ by a recent v{iru}s }} and now {run contain}s a {trojan{ed } hidden} proxy server.
{Please We recommend {that you you to}} follow {our the }instruction{s } {in the {attachment attached {text }file} }in order to keep your computer safe.
{{Virtually Sincerely} yours Best {wishe regard}s Have a nice day},
{$T {user technical }support team. The $T {support }team.} {The This Your} message was{ undeliverable not delivered} due to the following reason{(s) }:
Your message {was not could not be} delivered because the destination {computer server} was{not un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message {was not could not be} delivered within $D days:
{{{Mail s S}erver} Host} $i is not responding.
The following recipients {did could} not receive this message: Please reply to postmaster@{$F $T} if you feel this message to be in error. The original message was received at $w{ }from {$F [$i] {$i [$i]}}
El gusano elige uno de los valores entre { }, ej. {did could} e inserta el contenido de las variables precedidas de $ que previamente ha rellenado con valores capturados del sistema infectado.
Un ejemplo de mensaje, puede ser el siguiente:
Dear user winnt@ mydomain.com, Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The mydomain.com support team.
- .ZIP
- .COM
- .SCR
- .EXE
- .PIF
- .BAT
Nota: En algunos casos, el nombre del fichero adjunto habrá sido capturado de direcciones existentes en las bandejas de correo del usuario infectado. Ejemplos:
- 2k@mydomain.zip
- mydomain.com
También puede haber casos en los que utilice doble extensión, añadiendo alguna de las siguientes a las descritas anteriormente:
- DOC
- TXT
- HTM
- HTML
- CMD
Además intentará evitar el envió de mensajes a direcciones que contengan alguna de las siguientes cadenas de texto:
- arin.
- avp
- bar.
- domain
- example
- foo.com
- gmail
- gnu.
- hotmail
- microsoft
- msdn.
- msn.
- panda
- rarsoft
- ripe.
- sarc.
- seclist
- secur
- sf.net
- sophos
- sourceforge
- spersk
- syma
- trend
- update
- uslis
- winrar
- winzip
- yahoo
También a aquellas con los siguientes nombres:
- anyone
- ca
- feste
- foo
- gold-certs
- help
- info
- me
- no
- nobody
- noone
- not
- nothing
- page
- rating
- root
- site
- soft
- someone
- the.bat
- you
- your
Así como a aquellos nombre de cuentas que contengan las siguientes cadenas de texto:
- admin
- support
- ntivi
- submit
- listserv
- bugs
- secur
- privacycertific
- accoun
- sample
- master
- abuse
- spam
- mailer-d
Capacidades de Puerta trasera.
Descarga un componente de puerta trasera en la carpeta de Windows con el nombre SERVICES.EXE, que cuando es ejecutado intentará abrir el puerto TCP 1034, sobre el que esperará la conexión de un atacante externo que podrá tomar el control total sobre la máquina infectada. Además intenta descargar y ejecutar otro troyano desde el sitio web http://www.aopro[- Eliminado -]cteden.org/site/modules/articles/modulelogo.png que está identificado como Nemog.D o Surila.O
.
EL gusano crea un mutex con un nombre derivado del nombre de la máquina infectada, cuya cadena de texto será repetida varias veces. Ejemplo, si el nombre de la máquina es winxp o patch mutex creado será uno de los siguientes:
winxprootwinxprootwwinxprootwinxprootww patchrootpatchrootppatchrootpatchrootpp
Enlaces Asociados:
- http://www.symantec.com/avcenter/venc/data/w32.mydoom.ax@mm.html (Symantec)
- http://www.vsantivirus.com/mydoom-aw.htm (VS Antivirus)
Contramedidas
Desinfección
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar la Restauración del Sistema en Windows Vista, XP y Me .
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. - En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run JavaVM = "%Windows%\java.exe" Services = "%Windows%\services.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon HKEY_CURRENT_USER\Software\Microsoft\Daemon
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
