• Viernes 29 de Marzo de 2024, 14:26

Autor Tema:  Mydoom.bb  (Leído 1311 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Mydoom.bb
« en: Jueves 17 de Febrero de 2005, 20:24 »
0
Datos Técnicos
Peligrosidad: 3 - Media     
Difusión: Media   Fecha de Alta:17-02-2005
Última Actualización:17-02-2005
Daño: Medio
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm.W32/Mydoom.BB@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 25771
Alias:WORM_MYDOOM.BB (Trend Micro), W32/Mydoom.bb@MM (McAfee), Win32.Mydoom.AU (Computer Associates), W32/Mydoom.AO.worm (Panda Software), Email-Worm.Win32.Mydoom.m (Kaspersky (viruslist.com)), Win32.Mydoom.AQ@mm (Bit Defender), W32/MyDoom-O (Sophos), Win32/Mydoom.AW (Enciclopedia Virus), MyDoom.BB (F-Secure), W32/MyDoom.AQ@mm (Norman), W32/Mydoom.AW@mm (Computer Associates)

Detalles
Cuando se ejecuta, deja una copia de si mismo con el nombre JAVA.EXE en la carpeta de Windows
Crea la siguiente entrada en el registro con los valores indicados para iniciarse junto al arranque de Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
JavaVM = "%Windows%\java.exe"
Services = "%Windows%\services.exe"
(Nota: %Windows% representa las carpetas C:\Windows o C:\WINNT.)
También crea las siguientes entradas como marca de infección, para evitar que se ejecute de forma concurrente mas de una copia del gusano:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon
Intentará cerrar todas las ventanas abiertas que correspondan con alguna de las siguientes aplicaciones:
    * Internet Explorer
    * Microsoft Outlook
    * Outlook Express
Propagación por correo
Se propaga por correo utilizando su propio motor SMTP (Simple Mail Transfer Protocol) para el envío de mensajes.
Inicialmente comprueba la conexión a internet y trata de conectarse al servidor DNS local. A continuación comprueba que coinciden los nombres de dominio del intercambiador de correo y de la bandeja del usuario, para poder utilizarlo como Servidor SMTP.
Recopila las direcciones de correo que encuentre en la libreta de direcciones de Windows (Windows Address Book. WAB), así como de ficheros existentes en la carpeta de ficheros temporales de internet y de aquellos otros ficheros con las siguientes extensiones:

# hlp
# tx*
# asp
# ht*
# sht*
# adb
# dbx
# wab

De las direcciones encontradas utilizará el dominio para interrogar a los siguientes motores de búsqueda en internet con objeto de localizar nuevas direcciones para propagarse:

    * http://search.lycos.com
    * http://www.altavista.com
    * http://search.yahoo.com
    * http://www.google.com

Los detalles del correo enviado son los siguientes:
# Remitente: Estará falsificado tanto en campo remitente como en la cabecera del mensaje:
# Asunto: podrá ser alguno de los siguientes:

    * The original message was included as attachment
    * The/Your m/Message could not be delivered
    * hello
    * hi error
    * status
    * test
    * report
    * delivery failed
    * Message could not be delivered
    * Mail System Error - Returned Mail
    * Delivery reports about your e-mail
    * Returned mail: see transcript for details
    * Returned mail: Data format error

También puede contener la dirección de correo del destinatario.
# Cuerpo del mensaje: El contenido del mensaje es generado por el gusano, recopilando diversos tipos de cadenas de texto almacenadas en variables de la máquina infectada, cuyo contenido será insertado en zonas concretas del mensaje. La composición se realiza completando los siguientes párrafos:
Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} of $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{$T {user |technical |}support team.|The $T {support |}team.} {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message {was not|could not be} delivered within $D days:
{{{Mail s|S}erver}|Host} $i is not responding.
The following recipients {did|could} not receive this message: Please reply to postmaster@{$F|$T} if you feel this message to be in error. The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}
El gusano elige uno de los valores entre { }, ej. {did|could} e inserta el contenido de las variables precedidas de $ que previamente ha rellenado con valores capturados del sistema infectado.
Un ejemplo de mensaje, puede ser el siguiente:
Dear user winnt@ mydomain.com, Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The mydomain.com support team.

# Adjunto: Será un nombre de fichero con alguna de las siguientes extensiones:

    * .ZIP
    * .COM
    * .SCR
    * .EXE
    * .PIF
    * .BAT

Nota:En algunos casos, el nombre del fichero adjunto habrá sido capturado de direcciones existentes en las bandejas de correo del usuario infectado. Ejemplos:

o 2k@mydomain.zip
o mydomain.com
También puede haber casos en los que utilice doble extensión, añadiendo alguna de las siguientes a las descritas antes:

          o DOC
          o TXT
          o HTM
          o HTML
          o CMD

Además intentará evitar el envió de mensajes a direcciones que contengan alguna de las siguientes cadenas de texto:

    * arin.
    * avp
    * bar.
    * domain
    * example
    * foo.com
    * gmail
    * gnu.
    * google
    * hotmail
    * microsoft
    * msdn.
    * msn.
    * panda
    * rarsoft
    * ripe.
    * sarc.
    * seclist
    * secur
    * sf.net
    * sophos
    * sourceforge
    * spersk
    * syma
    * trend
    * update
    * uslis
    * winrar
    * winzip
    * yahoo

También a aquellas con los siguientes nombres:

    * anyone
    * ca
    * feste
    * foo
    * gold-certs
    * help
    * info
    * me
    * no
    * nobody
    * noone
    * not
    * nothing
    * page
    * rating
    * root
    * site
    * soft
    * someone
    * the.bat
    * you
    * your

Así como a aquellos nombre de cuentas que contengan las siguientes cadenas de texto:

    * admin
    * support
    * ntivi
    * submit
    * listserv
    * bugs
    * secur
    * privacycertific
    * accoun
    * sample
    * master
    * abuse
    * spam
    * mailer-d

Capacidades de Puerta trasera.

Descarga un componente de puerta trasera en la carpeta de Windows con el nombre SERVICES.EXE, que cuando es ejecutado intentará abrir el puerto TCP 1034, sobre el que esperará la conexión de un atacante externo que podrá tomar el control total sobre la máquina infectada. Además intenta descargar y ejecutar otro troyano desde el sitio web > http://www.aoprocteden.org/site/modules/ar.../modulelogo.png que está identificado como Nemog.D o Surila.O

Otros detalles.

EL gusano crea un mutex con un nombre derivado del nombre de la máquina infectada, cuya cadena de texto será repetida varias veces. Ejemplo, si el nombre de la máquina es winxp o patch mutex creado será uno de los siguientes:

winxprootwinxprootwwinxprootwinxprootww
patchrootpatchrootppatchrootpatchrootpp

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * CMD
    * HTML
    * HTM
    * TXT
    * DOC
    * .BAT
    * .PIF
    * .EXE
    * .SCR
    * .COM
    * .ZIP

Asunto del mensaje (virus que llegan por correo)

    * Returned mail: Data format error
    * Returned mail: see transcript for details
    * Delivery reports about your e-mail
    * Mail System Error - Returned Mail
    * Message could not be delivered
    * delivery failed
    * report
    * test
    * status
    * hi error
    * hello
    * The/Your m/Message could not be delivered
    * The original message was included as attachment
El pasado son solo recuerdos, el futuro son solo sueños