Mydoom.F

MYDOOM.F, gusano/backdoor de propagación masiva vía Correo termina procesos ocasiona ataque DoS, etc.

W32/MyDoom.F@mm, W32/Mimail.T, I.worm.MyDoom.F@mm

MyDoom.F es un destructivo gusano reportado el 20 de Febrero del 2004, variante de Mydoom, de alta propagación masiva a través de mensajes de Correo con Remitente disfrazado bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria de una relación contenida dentro del código del virus. También se difunde en redes con recursos compartidos.

Posee su propio servidor SMTP que construye los mensajes combinando nombres o cadenas de texto contenidas en su código viral, contiene un componente Backdoor que transmite información al autor del virus vía puertos TCP, termina procesos en ejecución y borra archivos.

A diferencia de las versiones previas de Mydoom intenta ocasionar un ataque DoS de Negación de Servicio a:

www.microsoft.com
www.riaa.com (Recording Industry Association of America)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Assembler con una extensión de 34 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

Para su envío emplea la técnica Email spoofing, consistente en encubrir o disfrazar las verdaderas direcciones de los Remitentes. El mensaje tiene las siguientes características:

Remitente: [dirección_disfrazada@dominio_de_la_víctima]

Asunto, entre su larga lista se encuentran:

test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For your information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your order is being processed
Your request was registered
Your order was registered
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal File Sharing...
Thank You very very much
hi, it's me
Approved
Re: Approved
Details
Re: Details
Thank you
Re: Thank you
Announcement

Etc.

Contenido, uno de los siguientes:

test
You are bad
Take it
Reply
Please, reply
Information about you
Greetings
See you
Here it is
We have received this document from your e-mail.
Kill the writer of this document!
Something about you
I have your password :)
You are a bad writer
Is that yours?
Is that from you?
I wait for your reply.
Here is the document.
Read the details.
I'm waiting
Okay
Everything ok?
Check the attached document.
The document was sent in compressed format.
Please see the attached file for details
See the attached file for details
Details are in the attached document. You need Microsoft Office to open it.

Anexado, cualquiera de los siguientes:

msg
doc
document
readme
text
file
data
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
note
notes
product
bill
check
ps
money
about
story
mail
list
joke
jokes
friend
site
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo

Con las extensiones:

En forma aleatoria el archivo puede tener la extensión ZIP y el icono que representa al archivo simula ser uno de formato texto:

El gusano evita infectar direcciones de correo que tengan las siguientes cadenas:

mozilla
utgers.ed
tanford.e
fsf.
gnu mit.e
bsd
math
unix
berkeley
ripe.
arin.
sendmail
rfc-ed
ietf
iana
irix
solaris
sgi.com
sun.com
slashdot
sourcef
usenet
fido
linux
kernel
google
ibm.com
pgp
acketst
secur
isc.o
isi.e
nai.co
essagela
suppo
foo.
.mil
gov.
.gov
ruslis
nodoma
mydoma
example
inpris
borlan
sopho
panda
hot
mail msn.
icrosof
syma
avp

Envía mensajes usando de forma preferencial como Remitentes disfrazados, los siguientes nombres:

jerry
billsmith
jim
sam
james
alex
john

Al ejecutar el anexado, el gusano muestra la siguiente caja de diálogo:

Luego se auto-copia a la carpeta %System% usando nombres aleatorios con extensión .EXE y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"nkch" = "%System%\[nombre_aleatorio].exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al mismo tiempo libera en la carpeta %System% el archivo vppu.dll, de 8 KB de extensión, el cual actuará como Backdoor.

Al siguiente re-inicio el gusano revisa todos los procesos que estuviesen en ejecución en el sistema infectado y termina cualquiera de los siguientes:

reged
taskmo
taskmg
avp.
avp32
norton
navapw
navw3
intrena
mcafe

También borra los archivos que tengan las extensiones:

AVI
BMP
DOC
JPG
MDB
SAV
XLS.

Para propagarse en Redes con recursos compartidos el gusano genera copias de sí mismo con extensiones .EXE o .ZIP que tienen una extensión de 34 KB e intenta ingresar haciendo uso de los puertos abiertos por el Backdoor o a través de una relación de direcciones IP aleatorias.

Actuando como Backdoor el gusano abre el puerto TCP 1080 o indistintamente puertos TCP desde el 3000 al 5000, a través del cual realiza transmisiones entre el sistema infectado y el equipo del autor del virus. La información es almacenada en un archivo temporal y después de ser enviada, este archivo es borrado.

El gusano intentará ocasionar un ataque DoS o de Negación de Servicio a los siguientes dominios:

www.microsoft.com
www.riaa.com

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Remitente disfrazado bajo la técnica Email Spoofing, con asuntos, contenidos y archivos anexados aleatorios.
Se auto-envía a las direcciones de correo que extrae de archivos de determinadas extensiones.
El icono del anexado grafica un archivo de texto.
Hace uso de su propio servidor SMTP que construye los mensajes combinando los nombre y cadenas de textos.
Libera un componente Backdoor que abre el puerto 1080 o aleatoriamente un puerto entre el 3000 al 5000, desde el cual intercambiará información con el autor del virus.
Termina determinados procesos en ejecución.
Borra archivos de determinadas extensiones.
Ocasiona un ataque DoS o de Negación de Servicio a los portales www.microsoft.com y www.riia.com

PER ANTIVIRUS® versión 8.5 con registro de virus al 20 de Febrero del 2004 detecta y elimina este gusano.