Mydoom.BK

MYDOOM.BK, gusano de Correo Multi SPAM y red Peer to Peer de Kazaa.

W32/Mydoom.BK@mm

Mydoom.BK es un gusano reportado el 22 de Marzo del 2006 de alta propagación masiva en mensajes de correo con asuntos, contenidos y archivos anexados de nombres aleatorios.

Se propaga además vía la red de compartimiento de archivos Peer to Peer Kazaa.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, escrito en MS Visual C++ con una extensión de 27.5 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Antes de ejecutar cualquier proceso el gusano verifica que el sistema esté conectado a Internet, luego se conecta a su vez al servidor local DNS e invoca a los servidores Exchange que coincidan con el nombre del la dirección de correo del receptor.

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en la Libreta de Direcciones de Windows, la carpeta temporal de Internet o las contenidas en los archivos con las siguientes extensiones:

adb
asp
dbx
hlp
ht*
sht
shtm
txt
wab

o usando uno de los siguientes nombres con el dominio del remitente:

alexey
alice
andrew
boris
brenda
brent
brian
claudia
craig
cyber
david
debby
dmitry
frank
george
gerhard
helen
james
jayson
jerry
jimmy
julie
kevin
linda
linda
maria
marina
michael
nikolay
peter
robert
sandra
smith
steve
Vladimir

evitando enviarse a las direcciones con cualquiera de las cadenas:

aero
acketst
arin.
be_loyal:
berkeley
borlan
example
hotmail
ibm.com
icrosof
inpris
isc.o
isi.e
mit.e
mozilla
mydomai
nodomai
panda
ripe.
ruslis
secur
sopho
tanford.e
utgers.ed

o a las cuentas con uno de los siguientes nombres:

AccountRobot
accoun
admin
anyone
certific
contact
fraud
google
icrosoft
linux
listserv
nobody
noone
nothing
ntivi
postmaster
privacy
rating
samples
secur
service
somebody
someone
submit
support
webmaster
webmoney

El mensaje tiene las siguientes características:

Asunto, elegido aleatoriamente de uno de los siguientes:

[caracteres_aleatorios]
Greetings!
Hello friend ;)
Hey dear!
Hey! How are you doing bud?
Re: Hello
Re: I got it! Try it now!
Re[2]: wazzup bro
Wazzap bro!!

Contenido, uno de los siguientes:

Greetings! Check out my portfolio, please! Here is some my photos in the archive. Greetings. Here is some my nude photos in the attachment. Hello bro! Here is my new girlfriend's photo! Check it out! Hello buddy! Take a look at attachment! Here is my nude 17-yr sister! Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;) Hello! I sent you new skype plug-in, as you wished. Hello! There is NEW plug-in for MSN. Try it out! Hey bro! Check out attachment! There is a new plug-in for skype! Hey dear! Here is my photos, as I promised. Hey friend! Try this new smiles pack for MSN messenger! Hey man! Take a look at attachment! Whatz up man! There is my nude 17-yr sister in the attachment! Anexado, uno de los siguientes: doc document i_love_u i_luv_u port_imgs sex_girls sex_pics seguidos de una de las extensiones: com exe pif txt[espacios].scr txt[espacios].exe txt[espacios].pif zip Al ser ejecutado el gusano se copia a la carpeta %System% con el nombre de wmedia16.exe y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "WMedia16" = "%System%\wmedia16.exe" %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. Al siguiente inicio del equipo ejecuta sus rutinas de envío de mensajes masivos de correo. Para propagarse a través de la red Peer to Peer Kazaa se copia a su carpeta de o buscando en la llave: [HKEY_LOCAL_MACHINE\Software\Kazaa\Transfer] luego copia a esta carpeta los siguientes nombres de archivo: 0day_patch dcom_patches lsas_patches msblast_patches office_crack skype_video strip-girl4.0c xp_activation con una de las siguientes extensiones: com exe pif txt[espacios].scr txt[espacios].exe txt[espacios].pif zip PER ANTIVIRUS® versión 9.6 con registro de virus al 22 de Marzo del 2006 detecta y elimina eficientemente este gusano.