DoomJuice.B

DOOMJUICE.B gusano/backdoor usa sistemas infectados con MyDoom ocasiona ataque DoS a Microsoft.

W32/DoomJuice.B, W32/Backdoor.DoomJuice.B

DoomJuice.B es un gusano/backdoor residente en memoria, variante de DoomJuice reportado el 11 de Febrero del 2004, que se propaga a través de sistemas infectados con los gusanos Mydoom y Mydoom.B, el mismo que después de comprobar si el sistema está conectado a Internet, abre el puerto TCP 3127 usando direcciones IP aleatorias e infecta redes con recursos compartidos.

Si la fecha es menor al día 8 o superior al 12, durante todos los meses del año excepto Enero, el gusano ocasionará ataque de Negación de Servicio DoS con peticiones Get HTTP (puerto 80) hacia el dominio www.microsoft.com

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, con una extensión de apenas 5 KB, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado a un sistema crea un mutex (Exclusión Mutua), denominado -sncZZmtx_133, para evitar la generación de sus múltiples auto-copias en la memoria de Windows.

Un mutex es un programa objeto usado para permitir el acceso a un recurso compartido, mas no en forma simultánea.

A continuación se auto-copia a la carpeta %System% con el nombre de Regedit.exe y para activarse la siguiente vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck" = "%System%\Regedit.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente inicio del sistema el gusano rastrea direcciones IP aleatorias haciendo uso del puerto TCP 3127 y en el caso que los sistemas estén infectados con Mydoom y Mydoom.B y envía una copia de sí mismo haciendo uso del archivo Backdoor Shimgapi.dll, luego se ejecuta en memoria y re-inicia el proceso de infección a sistemas de Redes con recursos compartidos.

Actuando como Backdoor recibe instrucciones o comandos vía el puerto TCP 3127 y los ejecuta. El hacker poseedor del software Cliente podrá tomar el control de los sistemas infectados, en forma remota.

Del 09 a 12 de Febrero este gusano ocasionará ataque de Negación de Servicio DoS con peticiones GET HTTP (puerto 80) hacia el dominio www.microsoft.com

GET / HTTP/1.1
Accept: */*
Accept-Language: en-us or Accept-Language: en
Accept-Encoding: gzip, deflate or blank
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0) o
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) o
User-Agent: Mozilla/4.0
Host: www.microsoft.com:80

Al contrario de su versión anterior, este gusano no libera en los sistemas infectados una copia del gusano Mydoom.

Los payloads de este troyano/backdoor son los siguientes:

Se propaga en los sistemas previamente infectados con los gusanos Mydoom y Mydoom.B.
Verifica si el sistema está conectado a Internet y abre el puerto TCP 3127 usando direcciones IP aleatorias e infecta redes con recursos compartidos.
Si la fecha es menor al día 8 o superior al 12, durante todos los meses del año excepto Enero, el gusano ocasionará ataques de Negación de Servicio DoS con peticiones GET HTTP (puerto 80) hacia el dominio www.microsoft.com.
El hacker poseedor del software Cliente podrá tomar el control de los sistemas infectados, en forma remota.

PER ANTIVIRUS® versión 8.5 con registro de virus al 11 de Febrero del 2004 detecta y elimina eficientemente este gusano/backdoor.