Detalles técnicos

• Nombre completo del virus: Malware.W32/Mydoom.M@MM
• Tipo de código: Mal: Malware de tipo: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores. + Backdoor Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
• Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
• Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Tamaño comprimido (bytes): 28.832
• Alias:

Arriba

Propagación

Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Arriba

Infección/Efectos

Cuando Mydoom.M se ejecuta, realiza las siguientes acciones:

Otros detalles

Instalación

El gusano se copia con el nombre Java.exe en la carpeta de Windows.
Crea otro fichero llamado services.exe , el componente de puerta trasera, en la carpeta de Windows y en la carpeta temporal de Windows. Este componente es Backdoor.W32/Zincite .

Crea los siguientes valores en el registro:

 JavaVM="%Windows%\java.exe" Services=“%Windows%\services.exe" 

bajo la siguiente clave de autoejecución:

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run 

para que ambos componentes sean ejecutados durante el el inicio de sesión del usuario. %Windows% es una variable que se refiere a la carpeta de instalación de Windows, por defecto C:\WINDOWS o C:\WINNT.

Crea una entrada llamada "ID" en la siguiente clave del registro como marcador de infección:

 HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon 

Difusión por correo electrónico

El gusano se difunde por correo usando comandos SMTP ( Simple Mail Transfer Protocol ). Primero comprueba la existencia de conexión con Internet y luego se conecta con un servidor de correo.

Recolecta direcciones de correo electrónico de la libreta de direcciones de Windows (WAB), cuando encuentra una dirección, extrae la parte correspondiente al dominio y usa los siguientes motores de búsqueda para confirmar su existencia:

• http://search.lycos.com
• http://www.altavista.com
• http://search.yahoo.com
• http://www.google.com

Suplanta el nombre del remitente del mensaje, tanto en la cabecera como en el envoltorio. El mensaje tiene, además, las siguientes características:

• Asunto: Uno de los siguientes.
  • The original message was included as attachment
  • The/Your m/Message could not be delivered
  • hello
  • hi error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error

  También puede contener la dirección de correo electrónico del destinatario.

• Cuerpo del mensaje: . El gusano genera el cuerpo usando cadenas recogidas del sistema del usuario. Elije aleatoriamente entre las siguientes cadenas para formar el mensaje:
  • Dear user {$t of $T},{ {{M m}ail {system server} administrator administration} of $T would like to {inform you{ that{: ,} } let you know {that the following}{. : ,}} }
  • {We have {detected found received reports} that y Y}our {e{- }mail }account {has been was} used to send a {large huge} amount of {{unsolicited{ commercial } junk} e{- }mail spam}{ messages } during {this the {last recent}} week.
  • {We suspect that Probably, Most likely Obviously,} your computer {had been was} {compromised infected{ by a recent v{iru}s }} and now {run contain}s a {trojan{ed } hidden} proxy server.
  • {Please We recommend {that you you to}} follow {our the }instruction{s } {in the {attachment attached {text }file} }in order to keep your computer safe.
  • {{Virtually Sincerely} yours Best {wishe regard}s Have a nice day},
  • {$T {user technical }support team. The $T {support }team.} {The This Your} message was{ undeliverable not delivered} due to the following reason{(s) }:
  • Your message {was not could not be} delivered because the destination {computer server} was{not un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.
  • Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
  • Your message {was not could not be} delivered within $D days:
  • {{{Mail s S}erver} Host} $i is not responding.
  • The following recipients {did could} not receive this message:Please reply to postmaster@{$F $T} if you feel this message to be in error. The original message was received at $w{ }from {$F [$i] {$i [$i]}}

  Un posible mensaje resultante es el siguiente:

  Dear user winnt@ mydomain.com,
  Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week.
  Most likely your computer had been infected by a recent virus and now runs a hidden proxy server.
  Please follow our instruction in the attached file in order to keep your computer safe.
  Virtually yours,
  The mydomain.com support team.

• Adjunto: Utiliza nombres aleatorios, con extensiones:
  • .zip
  • .com
  • .scr
  • .exe
  • .pif
  • .bat

  En ocasiones, el nombre base es una cadena obtenida de la dirección a la que se envía el gusano. También puede utilzar nombre con doble extensión, anteponiendo las siguientes a las listadas anteriormente:
  • Doc
  • txt
  • htm
  • html
  • cmd

El gusano evita direcciones de correo cuyo dominio contenga alguna de las siguientes cadenas:

• arin.
• avp
• bar.
• domain
• example
• foo.com
• gmail
• gnu.
• google
• hotmail
• microsoft
• msdn.
• msn.
• panda
• rarsoft
• ripe.
• sarc.
• seclist
• secur
• sf.net
• sophos
• sourceforge
• spersk
• syma
• trend
• update
• uslis
• winrar
• winzip
• yahoo

Tampoco envía mensajes a direcciones cuyo nombre de usuario contenga:

• anyone
• ca
• feste
• foo
• gold-certs
• help
• info
• me
• no
• nobody
• noone
• not
• nothing
• page
• rating
• root
• site
• soft
• someone
• the.bat
• you
• your

Y las que contengan las siguientes cadenas en cualquier parte:

• admin
• support
• ntivi
• submit
• listserv
• bugs
• secur
• privacycertific
• accoun
• sample
• master
• abuse
• spam
• mailer-d

El gusano crea un fichero de registro llamado Zincite.log en la carpeta temporal de Windows.
También crea un mutex con un nombre derivado del nombre del sistema donde se ejecuta, añadiendo la cadena root y repitiendo la combinación de cadenas varias veces.

Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

Arriba

Contramedidas