|
MYDOOM.BA destructivo gusano/troyano/backdoor de Correo descarga además otro troyano/backdoor, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/MyDoom.BA@mm, I.worm.MyDoom.BA@mm
|
|
MyDoom.BA es un destructivo gusano/troyano/backdoor reportado el 21 de Febrero del 2005, de propagación masiva a través de mensajes de Correo con remitentes disfrazados
bajo la técnica Spoofing, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.
Al activarse se copia a diversas rutas con copias del gusano además copia el backdoor Zincite, abre una puerta trasera
vía el puerto TCP 1132 mediante el cual descarga el troyano/backdoor Nemog desde diversos sitios web. Intenta además robar direcciones de los más conocidos motores de búsqueda de Internet.
|
Los intrusos poseedores de los programas Cliente de los troyanos/backdoors tomarán el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.
Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP,
incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 25 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB) o de archivos con las siguientes extensiones:
- pl*
- ph*
- tx*
- ht*
- asp
- sht
- adb
- dbx
- wab
Evitando infectar direcciones de correo que tengan las siguientes cadenas:
- abuse
- accoun
- admin
- anyone
- arin.
- avp
- avp
- bar.
- bugs
- ca
- certific
- domain
- example
- feste
- foo
- foo.com
- gmail
- gnu.
- gold-certs
- google
- help
- hotmail
- info
- listserv
- master
- me
- microsoft
- msdn.
- msn.
- no
- nobody
- noone
- not
- nothing
- ntivi
- page
- panda
- privacy
- rarsoft
- rating
- ripe.
- sample
- sarc.
- seclist
- secur
- sf.net
- site
- soft
- someone
- sophos
- sophos
- sourceforge
- spam
- spersk
- submit
- support
- syma
- the.bat
- trend
- update
- uslis
- winrar
- winzip
- yahoo
- you
- your
El mensaje tiene las siguientes características: (algunas simulan ser devueltos por no haber sido gestionados).
Remitente, uno de los buzones de la Libreta de Direcciones de Windows o emplea la técnica Email spoofing con uno de los siguientes nombres:
- Postmaster
- Mail Administrator
- Automatic Email Delivery Software
- Post Office
- The Post Office
- Bounced mail
- Returned mail
- MAILER-DAEMON
- Mail Delivery Subsystem
con los dominios de los sistemas infectados.
Asunto, aleatoriamente uno de los siguientes:
- hello
- hi
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error delivered
Contenido, textos variables con frases o palabras encerradas por los signos "[ ]" o separadas por "|":
- Dear user {[dirección_del_receptor]|of [dominio_del_receptor]},{ {{M|m}ail {system|server}
administrator|administration} of [dominio_del_receptor]
would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used
to send a {large|huge} amount of {{unsolicited{
commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was}
{compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a
{trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the
{attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{[dominio_del_receptor] {user |technical |}support team.|The [dominio_del_receptor]
{support |}team.}
- {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
- Your message {was not|could not be} delivered within [número_aleatorio] days:
{{{Mail s|S}erver}|Host} [servidor_usado_para_enviar_mensaje]} is not responding.
The following recipients {did|could} not receive this message:
[[dirección_del_receptor]]
Please reply to postmaster@{[dirección_del_remitente]|[dominio_del_receptor]}
if you feel this message to be in error.
- The original message was received at [hora_actual]{
| }from {[dirección_del_remitente] ]|{[servidor_usado_para_enviar_mensaje]]|]}}
----- The following addresses had permanent fatal errors -----
{[[dirección_del_receptor]]|[dirección_del_receptor]}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{[dominio_del_receptor].|[servidor_usado_para_
enviar_mensaje]]}:
- {]]] MAIL F{rom|ROM}:[From address of mail]
[[[ 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address}
{unknown|blacklisted}}|554 [[dirección_del_receptor]]... {Mail quota
exceeded|Message is too
large}
554 [[dirección_del_receptor]]... Service unavailable|550 5.1.2 [[dirección_del_receptor]]... Host unknown (Name server: host not found)|554 {5.0.0
|}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|]]] RCPT To:[[dirección_del_receptor]]
[[[ 550 {MAILBOX NOT FOUND|5.1.1 [[dirección_del_receptor]]... {User unknown|Invalid
recipient|Not known here}}|]]] DATA
{[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{[[[ 400-aturner; -RMS-E-CRE, ACP file create failed
|}{[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}[[[ 400}|}
- The original message was included as an attachment.
- {{The|Your} m|M}essage could not be delivered
Anexado, usa un nombre de archivo generado por una dirección de correo extraída del sistema infectado o uno de los nombres:
- ATTACHMENT
- DOCUMENT
- FILE
- INSTRUCTION
- LETTER
- MAIL
- MESSAGE
- README
- TEXT
- TRANSCRIPT
Con una de las siguientes extensiones:
- bat
- cmd
- com
- exe
- pif
- scr
- zip
pudiendo tener una segunda extensión elegida de:
En caso que el archivo anexado sea uno de formato .ZIP éste contendrá una copia del gusano, así como también este archivo puede estar empaquetado hasta dos veces.
Al activarse el gusano se copia a las siguientes rutas con los nombres:
- %Windir%\java.exe (copia del gusano)
- %Windir%\services.exe (contiene el troyano/backdoor Zincite)
- %Temp%\zincite.log (archivo encriptado que registra las infecciones del Zincite)
- %Temp%\[nombre_aleatorio].log
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
Para ejecutarse la próxima vez que se inicie el sistema, agrega los siguientes valores:
- "JavaVM" = "%Windir%\java.exe"
- "Services" = "%Windir%\services.exe"
a una de las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
crea además los siguientes registros::
HKEY_CURRENT_USER\Software\Microsoft\Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
el gusano intenta capturar direcciones de correo ejecutando peticiones GET a los siguientes motores e búsqueda:
- search.yahoo.com
- search.lycos.com
- www.altavista.com
- www.google.com
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio del sistema, el gusano ejecuta su rutina de propagación masiva de mensajes de correo y a través del puerto TCP 1132 abre un Backdoor mediante el cual descarga el troyano/backdoor Nemog desde cualquiera de
los siguientes sitios web:
- www.imogenheap.co.uk
- www.newgenerationcomics.net
- www.aartanridge.org.uk
- www.eastcoastchoons.co.uk
- www.foxalpha.com
- www.sundayriders.co.uk
- www.hooping.org
- www.ribaforada.net
Los intrusos poseedores de los troyanos/backdoor tomarán el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.
PER ANTIVIRUS® versión 9.1 con registro de virus al 21 de Febrero del 2005 detecta y elimina eficientemente este gusano/troyano/backdoor.
