W32/MyDoom.BT@mm, I.worm.MyDoom.BT@mm

No tiene características definidas de mensajes de correo, captura la información relacionada a los ya contenidos en los sistemas infectados usando en modo aleatorio, sus propios remitentes, asuntos y contenidos.

Se copia a la carpeta %System% con el nombre de osalogbe.exe y libera además los siguientes archivos:

• email1.txt
• from.txt
• message.txt
• scanlog.txt
• subject.txt

Abre un Backdoor a través de cualquier puerto aleatorio y se conecta uno de tres servidores IRC (Internet Chat Relay) uniéndose a un canal de Chat desde el cual ejecutará acciones nocivas, tomando el control en forma remota del sistema infectado.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 65.5 KB y comprimido con el utilitario ASPack:

evitando infectar direcciones que tengan las siguientes cadenas:

• .edu
• .gov
• .mil
• abuse
• accoun
• acketst
• admin
• anyone
• arin.
• avp
• berkeley
• borlan
• bsd
• bugs
• ca
• certific
• contact
• example
• feste
• fido
• foo.
• fsf.
• gnu
• gold-certs
• google
• gov.
• help
• iana
• ibm.com
• icrosof
• icrosoft
• ietf
• info
• inpris
• isc.o
• isi.e
• kernel
• linux
• listserv
• math
• me
• mit.e
• mozilla
• mydomai
• no
• nobody
• nodomai
• noone
• not
• nothing
• ntivi
• page
• panda
• pgp
• postmaster
• privacy
• rating
• rfc-ed
• ripe.
• root
• ruslis
• samples
• secur
• sendmail
• service
• site
• soft
• somebody
• someone
• sopho
• spam
• submit
• support
• syma
• tanford.e
• the.bat
• unix
• usenet
• utgers.ed
• webmaster
• www
• you
• your

luego invoca a los servidores MS Exchange de las direcciones capturadas, agregándoles las siguientes cadenas:

• gate.
• mail.
• mail1.
• mx.
• mx1.
• mxs.
• ns.
• relay.
• smtp.

A diferencia de otros gusanos de correo que tienen características definidas de sus mensajes, MyDoom.BT captura la información relacionada a los mensajes contenidos en los sistemas infectados y usa sus remitentes, asuntos y contenidos.

Salva la información extraída en los archivos descargados que tienen la extensión .TXT, para lograr un efecto más realístico al envio de mensajes. Tampoco ejecuta su rutina de auto-envío en forma inmediata y espera el comando remoto del atacante.

Al activarse el gusano, crea el Mutex "ESULALUOGIRIOKO" para evitar infectar el sistema más de una vez.

Luego se copia a la carpeta %System% con el nombre de osalogbe.exe y para ejecutarse la próxima vez que se re-inicie el agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Osalogbe" = "%System%\osalogbe.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Agrega además la llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ComDlg32\osunimale]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\osunimale]

El gusano captura las teclas digitadas y las salva e un archivo con caracteres aleatorios, en la ruta:

%Windir%\mslog\[caracteres_aleatorios].sys

Actuando como Backdoor haciendo uso de cualquier puerto TCP aleatorio se conecta a cualquiera de los servidores IRC:

• anubis.zanet.org.za
• irc.red-latina.org
• irc.voila.fr

y se une al canal #ifa a través del cual los intrusos podrán ejecutar, entre otras las siguiente acciones:

• Descargar y ejecutar archivos con códigos malignos desde determinadas URL.
• Capturar archivos y substraerlos.
• Capturar la dirección IP del sistema infectado.
• Borrar o crear archivos.
• Ejecutar ataques DoS de Denegación de Servicios.
• Enviar mensajes de correo o detener su envío aleatoriamente.
• Realizar diversas acciones en forma remota.

PER ANTIVIRUS® versión 9.7 con registro de virus al 19 de Mayo del 2006 detecta y elimina eficientemente este troyano/gusano/backdoor.