|
DOOMJUICE gusano/backdoor usa sistemas infectados con MyDoom ocasiona
ataque DoS a Microsoft, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/DoomJuice,
W32/Backdoor.DoomJuice
 |
|
DoomJuice
es un
nocivo gusano/backdoor
reportado el 10 de Febrero del 2004, que se propaga a través del
componente backdoor de los gusanos Mydoom y
Mydoom.B el
cual después de comprobar si está conectado a Internet, abre el puerto
TCP 3127 o direcciones IP aleatorias con el propósito de
propagarse e infectar con el virus Mydoom.
Del 09 a 12 de Febrero
este gusano ocasionará ataque de Negación de
Servicio DoS
con peticiones Get
HTTP (puerto 80) hacia el dominio
www.microsoft.com
|
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003,
con una extensión de 43 KB, está desarrollado en Visual C++
y comprimido con el utilitario UPX (Ultimate Packer for
eXecutables):
http://upx.sourceforge.net
Una vez ingresado a un sistema crea mutex
(Exclusión Mutua), denominado sync-Z-mtx_133,
para evitar la generación de sus múltiples auto-copias en la memoria de
Windows.
Un mutex es un programa objeto usado para permitir el acceso a un
recurso compartido, mas no en forma simultánea.
A continuación se auto-copia a la carpeta %System%
con el nombre de Intrenat.exe
y para
activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gremlin" =
"%System%\Intrenat.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gremlin" = "%System%\Intrenat.exe"
Al siguiente inicio del
sistema el gusano
libera el archivo sync-src-1.00.tbz
de 28 KB de extensión, el cual copia al directorio raíz, a %Windir%
y a las carpetas %System%, %Temp%,
y %UserProfile%
de todos las unidades de disco fijas y remotas.
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
%Windir% es
una variable que corresponde a C:\Windows en
Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
%Temp% es
la variable C:\Windows\Temp en Windows
95/98/Me, C:\Winnt\Temp en Windows NT\2000 y
C:\Document and Settings\[nombre_de
_usuario]\Local Settings\Temp en Windows XP/Server 2003.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo.
Es igual a C:\Documents and Settings\[nombre_de
_usuario] en Windows 2000/XP/NT.
El sync-src-1.00.tbz
es un archivo comprimido bajo el GNU
tar, el cual contiene el código fuente del gusano Mydoom.A
Actuando como Backdoor el gusano verifica si el usuario esta conectado a
Internet vía www.google.com
y de ser así el archivo Shimgapi.dll
componente de MyDoom
abre el puerto TCP 3127, o direcciones IP aleatorias con el propósito de
propagarse.
Si el gusano logra ejecutar el
comando, envía una copia de sí mismo al sistema remoto y a través del
componente backdoor, ejecutará e infectará con el virus Mydoom.A.
Del 09 a 12 de Febrero
este gusano ocasionará ataque de Negación de
Servicio DoS
con peticiones Get
HTTP (puerto 80) hacia el dominio
www.microsoft.com
Los payloads
de este troyano/backdoor son los siguientes:
- Se propaga
en los sistemas previamente infectados con los gusanos Mydoom y
Mydoom.B.
- Verifica si el sistema está conectado a
Internet y el componente backdoor de Mydoom abre el puerto TCP
3127 o direcciones IP aleatorias con el propósito de propagarse
e infectar con el gusano Mydoom.
- Del 09 a 12 de Febrero
este gusano ocasionará ataque de Negación de
Servicio DoS con peticiones
Get
HTTP (puerto 80) hacia el dominio www.microsoft.com.
PER ANTIVIRUS®
versión 8.5 con registro de virus al 10 de
Febrero del 2004 detecta y elimina eficientemente este
gusano/backdoor.
