Mydoom.CI

MYDOOM.CI gusano/backdoor de Correo e IRC descarga Backdoor que se conecta a través de puerto TCP.

W32/MyDoom.CI@mm, I.worm.MyDoom.CI@mm

MyDoom.CI es un gusano/backdoor reportado el 27 de Septiembre del 2005, de propagación masiva a través de mensajes de Correo con remitentes disfrazados bajo la técnica Spoofing, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Abre un Backdoor y se conecta un canal del IRC (Internet Chat Relay) por el puerto TCP 1034 y el intruso ejecutará acciones, pudiendo tomar el control en forma remota del sistema.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 40 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo de la Libreta de Direcciones de Windows (WAB) y la carpeta Temporal de Internet o de archivos con las siguientes extensiones:

doc

txt

htm

html

wab

dbx

adb

asp

plh

Obtiene otras direcciones invocando y extrayéndolas de los motores de búsqueda:

www.altavista.com
www.google.com
search.lycos.com
search.yahoo.com

En caso el gusano detectase una ventana abierta de MS Outlook la cerrará y se auto-enviará a las direcciones que capture.

El mensaje tiene las siguientes características:

Remitente, emplea la técnica Email spoofing que usa aleatoriamente los buzones extraídos del sistema, evitando enviarse a las direcciones que tengan las cadenas:

mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
feste
not
help
foo
soft
site
rating
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp

Asunto, aleatoriamente:

hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error

Contenido, uno de los siguientes:

Dear user [Email|of [doma [Removido] [dominio_de_A_Email] [support |]team.]
[The|This|Your] message was[no_entrega[Removido] ot have a mail system running right now.
Your message [was not|could not be] deli [Removido] nal message was included as attachment
[[The|Your] m|M]essage could not be delivered

Anexado, uno de los siguientes:

readme
instruction
transcript
mail
letter
file
text
attachment
document
message
[dominio_del_receptor]

Con cualquiera de las extensiones:

Al activarse el gusano se copia al directorio %Windir% con los nombres Java.exe y Services.exe y para ejecutarse la próxima vez que se re-inicie el agrega los valores:

"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"

a las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Crea los archivos %Temp%\zincite.log o %Temp%\[Nombre_aleatorio].log para guardar las rutas de los archivos que el gusano genere.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Al siguiente inicio del sistema el gusano activa su rutina de envío masivo de mensajes de correo.

Intenta descargar desde un URL cifrado el Backdoor Zincite, el cual abre el puerto TCP 1034 para conectarse y y unirse a un canal del IRC, a través del cual los intrusos podrán ejecutar, entre otras las siguiente acciones:

Descargar y ejecutar archivos con códigos maligno.
Ejecutar cualquier comando IRC activado por el intruso.
Reiniciar el equipos a voluntad.
Realizar diversas acciones en forma remota.

PER ANTIVIRUS® versión 9.4 con registro de virus al 27 de Septiembre del 2005 detecta y elimina eficientemente este gusano/backdoor.