DoomHunter

DOOMHUNTER gusano se propaga en sistemas infectados con MyDoom termina procesos borra archivos.

W32/DoomHunter, W32/Backdoor.Doomhunter

DoomHunter es un destructivo gusano residente en memoria, reportado el 13 de Febrero del 2004, que se propaga a través de diversos servicios de Internet en sistemas infectados con los gusanos Mydoom y Mydoom.B.

Infecta con un archivo de nombre Worm.exe, termina los procesos y borra archivos asociados a los gusanos Mydoom.A, Mydoom.B y MSblast. Asimismo usa el componente Backdoor que abre el puerto TCP 3127 para infectar a otros sistemas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, con una extensión de 5 KB, está desarrollado en Visual Basic 6.0 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema, cuando el gusano se ejecuta con el parámetro /DEBUG, muestra muestra varias cajas de diálogo con el mismo título en la parte superior, siendo las dos primeras:

A continuación se auto-copia a la carpeta %System% con el nombre de Worm.exe y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Delete Me" = "%System%\Worm.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente inicio del sistema el gusano abre el puerto TCP 3127 que es usado por el componente Backdoor de Mydoom, usando direcciones IP aleatorias y en caso de ingresar a un sistema se descarga y auto-ejecuta en el sistema previamente infectado.

Luego que se ejecuta a sí mismo en el equipo procede a terminar los procesos asociados a los gusanos Mydoom y Mydoom.B y Msblast que estuviesen en ejecución, tales como:

REGEDIT.EXE
TEEKIDS.EXE
MSBLAST.EXE
EXPLORER.EXE
TASKMON.EXE
INTRENAT.EXE

Y borra los siguientes archivos:

SHIMGAPI.DLL
CTFMON.DLL
REGEDIT.EXE
TEEKIDS.EXE
MSBLAST.EXE
EXPLORER.EXE
TASKMON.EXE
INTRENAT.EXE

Nota: EXPLORER.EXE es un proceso legítimo de Windows.

De igual modo borra las llaves de registro que fueron generadas por los gusanos Mydoom y Mydoom.B:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Los payloads de este gusano son los siguientes:

Se propaga a través de sistemas infectados con los gusanos Mydoom y Mydoom.B.
En caso que el sistema esté infectado con los virus Mydoom y Mydoom.B termina sus procesos:
termina los procesos y borra archivos asociados a los gusanos Mydoom.A, Mydoom.B y MSblast.
Usa el componente Shimgapi.dll y abre el puerto TCP 3127 usando direcciones IP aleatorias de sistemas que se encuentren infectados con Mydoom y Mydoom.B y en caso de ingresar a un sistema se descarga y auto-ejecuta en los sistema y estaciones de trabajo previamente infectados.

PER ANTIVIRUS® versión 8.5 con registro de virus al 13 de Febrero del 2004 detecta y elimina eficientemente este gusano.