Mydoom.AT

MYDOOM.AT gusano de Correo y P2P usa ingeniería social intenta infructuosamente descargar Backdoor.

W32/MyDoom.AT@mm, I.worm.MyDoom.AT@mm

MyDoom.AT es un gusano reportado el 21 de Marzo del 2005, de propagación masiva a través de mensajes de Correo con remitentes disfrazados bajo la técnica Spoofing, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Hace uso de la "ingeniería social" ya que simula ser enviado por el sistema de Alerta de Virus de Symantec, conteniendo una supuesta utilidad de remoción de un virus.

El gusano contiene una instrucción para descargar un Backdoor pero no logra tener éxito debido a un posible error de programación (bug).

Se propaga además a través de diversas redes Peer to Peer.

Al ser ejecutado muestra un falsa caja de diálogo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 15KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB), carpeta Temporal de Internet o de los archivos con las siguientes extensiones:

Evitando enviarse a las direcciones que tengan una de las siguientes cadenas:

.edu
.gov
.mil
acketst
arin.
avp
borlan
example
fido
foo.
google
gov.
hotmail
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
mozilla
msn.
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
usenet
utgers.ed

El mensaje tiene las siguientes características:

Remitente: VirusAlert@symantec.com <VirusAlert@symantec.com>. Emplea la técnica Email spoofing disfraza los buzones extraídos del sistema o de los archivos detallados anteriormente.

Asunto: Virus Alert id: [cinco_dígitos_aleatorios]

Contenido:

You received this message as a valuable
Symantec.com member since September 23, 2003.

************************************************************
WARNING! Your computer was infected by VIRUS:
Worm.SomeFool.P

You can install this utility to remove virus
************************************************************

http://securityresponse.symantec.com/avcenter/FxAgentB.exe

Al activarse muestra esta falsa caja de diálogo:

luego se copia a la carpeta %System% con el nombre debugmonitor.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea y modifica las llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
DebugMonitor = "%System%\debugmonitor.exe"

también agrega las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\ComDlg32\Driver32]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Driver32]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del sistema verifica si el sistema está conectado a Internet y activa su rutina de envío masivo de mensajes de correo.

Para propagarse vía redes Peer to Peer Kazaa, Morpheus, iMesh, eDonkey y LimeWire, se copia a sus carpetas de descarga, con los siguientes nombres:

activation_crack
dcom_patches
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2
winamp5

seguidos de cualquiera de las extensiones .scr o .exe.

PER ANTIVIRUS® versiones 9.1 y 9.2 con registro de virus al 21 de Marzo del 2005 detectan y eliminan este gusano.