Cercador
- | Inici
- Seguretat
- INTECO-CERT
- Actualidad_ca
- Virus
- Detalle de virus
Detalle de virus
Gusano que se propaga a través de mensajes electrónicos. La dirección de remitente está suplantada. Utiliza su propio motor SMTP, por lo que no depende del cliente de correo instalado. EL adjunto enviado en los correos tendrá extensión .bat, .cmd, .com, .exe, .pif, .scr o .zip También posee capacidades de puerta trasera, puede actuar como keylogger(captador de pulsaciones del teclado)
Detalles técnicos
- Peligrosidad: 2 - Baja
- [Explicación de los criterios]
- Difusión:
- Daño:
- Dispersabilidad:
- Fecha de alta: 20/07/2004
- Última actualización: 10/12/2009
- Nombre completo del virus: Worm.W32/Mydoom.L1@MM
- Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
-
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
- Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Tamaño (bytes): 21.000
-
Alias:
- W32/Mydoom.DN.worm (Panda Security)
- W32/Mydoom.M.worm (Panda Security)
Propagación
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Infección/Efectos
Cuando Mydoom.L1 se ejecuta, realiza las siguientes acciones:
Otros detalles
Instalación
Cuando se ejecuta, realiza las siguientes acciones:
- Se copia a sí mismo como %Windows%\lsass.exe.
Nota: %System% representa la carpeta del sistema de Windows. Podrá ser alguna de las siguientes: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
- Crea un fichero con nombre aleatorio y con extensión .TXT en la carpeta %Temp% donde almacenará información.
Nota: %Temp% representa la carpeta de ficheros temporales de windows. Por defecto será :C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).
- Añade el siguiente valor a la clave de registro indicado para iniciarse junto al arranque de Windows:
"Traybar" = "%Windows%\lsass.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- También crea la siguiente clave en el registro indicado:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\POSIX
- Activará su componente de puerta trasera a través del puerto TCP/1042.
Propagación
- Intenta copiarse a sí mismo a todas aquellas carpetas en cuyo nombre se encuentre alguna de las siguientes carpetas:
- incoming
- ftproot
- download
- shar
Los nombres utilizados podrán ser alguno de los siguientes:
- index
- Kazaa Lite
- Harry Potter
- ICQ 4 Lite
- WinRAR.v.3.2.and.key
- Winamp 5.0 (en) Crack
- Winamp 5.0 (en)
Con alguna de las siguientes extensiones:
- exe
- com
- ShareReactor.com
- scr
- doc
- txt
- htm
- html
Utilizará su propio motor de envío SMTP para propagarse a todas las direcciones capturadas. El mensaje enviado tendrá las siguientes características:
Remitente: Suplantado
Asunto: Podrá ser allguno de los siguientes:
- say helo to my litl friend
- click me baby, one more time
- hello
- hi
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
Mensaje: Podrá ser allguno de los siguientes:
- The original message was included as attachment
- Message could not be delivered
- This Message was undeliverable due to the following reason:
- Your message was not delivered because the destination computer was not reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message was not delivered within [random number] days: Host [hostname of spoofed from address] is not responding. The following recipients did not receive this message: [spoofed from address] Please reply to postmaster [hostname of spoofed from address] if you feel this message to be in error.
- The original message was received at [time] from [To address of message] ----- The following addresses had permanent fatal errors ----- [to address of message] ----- Transcript of session follows ----- while talking to [hostname of To address].: >>>MAIL From:[From address of message]The original message was received at [time] from [From address of message] ----- The following addresses had permanent fatal errors -----
Adjunto: Podrá ser alguno de los siguientes nombres de fichero:
- attachment
- document
- file
- letter
- message
- readme
- text
- transcript
Seguido de alguna de las siguientes extensiones:
- bat
- cmd
- com
- exe
- pif
- scr
- .gov
- .mil
- abus
- accoun
- admi
- anyone
- arin.
- avp
- bar.
- bug
- contact
- crosoft
- domain
- example
- feste
- foo.
- gmail
- gnu.
- gold-certs
- gov.
- help
- hotmail
- info
- james
- john
- labs
- listserv
- master
- math
- microsoft
- msn.
- nobody
- noone
- not
- nothing
- ntivi
- ophos
- page
- panda
- privacycertific
- rarsoft
- rating
- ripe.
- root
- sales
- sample
- sarc.
- seclist
- secur
- service
- sf.net
- site
- soft
- someone
- sourceforge
- spam
- spersk
- submit
- suppor
- syma
- the.bat
- update
- uslis
- winzip
- you
- your
Contramedidas
Desinfección
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. - En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine el siguiente valor:
"Traybar" = "%Windows%\lsass.exe"
de la siguiente clave del registro:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\POSIX
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
