W32/Mydoom.BD

MYDOOM.DB, gusano de propagación masiva vía Correo y Kazaa, descarga archivos infectados de URL's.

W32/MyDoom.BD@mm

MyDoom.DB es un gusano reportado el 26 de Diciembre del 2007, propagado a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria. También se difunde vía la popular red Peer to Peer Kazaa.

Inserta su micro-código en el proceso del Explorer.exe que integra con un Shell para activar el gusano al abrir determinados archivos.

Deshabilita el Administrador de Barra de Tareas y el Editor de Registros del sistema.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado y compilado en Visual C++, con una extensión de 46KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book), así como de la carpeta temporal de Internet Explorer.

Emplea también a técnica Spoofing, con remitentes falsos elegidos aleatoriamente de los siuientes nombres:

alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
jerry
jimmy
julie
kevin
linda
maria
michael
peter
robert
sandra
smith
steve

seguido de cuaquiera de los dominios:

@aol.com
@hotmail.com
@msn.com
@yahoo.com

El gusano se conecta además a una lista de servidores SMTP, que se encuentran cifrados dentro de su código viral y auto-envía mensajes masivos de correo a través de:

gate.%s
mail.%s
mail1.%s
mx.%s
mx1.%s
mxs.%s
ns.%s
relay.%s
smtp.%s

También extrae direcciones de la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]

El mensaje tiene las siguientes características:

Remitente: las extraídas del sistema o con la técnica Spoofing.

Asunto, uno de los siguientes:

Mail Transaction Failed
Mail Delivery System
Error
Status
Server Report

Contenido, uno de los siguientes:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Anexado, mayormente es un archivo en formato .ZIP, aunque puede tener otras extensiones:

message
hello
readme
document

En caso tener 2 extensiones, la última es .ZIP

El gusano evita enviarse a las direcciones que tenga una de las cadenas:

accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster

Al ejecutarse el gusanom se copia a la carpeta %Windir% como trayicons.exe y windisk.dll e inserta su micro-código en el proceso del archivo de sistema Explorer.exe y emplea un rústico shell que ejecuta el gusano cuando se abren determinados archivos, para lo cual crea las llaves:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"default" = "%Windir%\trayicons.exe" exec "%1" %*

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
"default" = "%Windir%\trayicons.exe" exec "%1" /S

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

para ejecutarse la próxima vez que se re-inicie agrega valorea a la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\DiskCheck]

Para deshabilitar el Administrador de Barra de Tareas y el Editor de Registros del sistema crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = "0"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = "1"

Para propagarse a través de la red KaZaa el gusano se copia a la carpeta de archivos compartidos con alguno de los siguientes nombres:

nuke2004.exe
office_crack.exe
rootkitXP.exe
strip-girl-2.0bdcom_patches.exe
activation_crack.exe
icq2004-final.exe
winamp5.exe
DlDir0.exe

Finalmente el gusano intenta descargar el archivo net.php o net2.php de diversas direcciones URL.

PER ANTIVIRUS® versión 10.3 con registro de virus al 26 de Diciembre del 2007 detecta y elimina este gusano.