Mydoom.FP

MYDOOM.FP gusano de alta propagación sin efectos nocivos satura servidores de correo.

W32/MyDoom.FP@mm, I.worm.MyDoom.FP@mm

MyDoom.FP es un gusano reportado el 26 de Octubre del 2005, de propagación masiva a través de mensajes de Correo con falsos remitentes asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Aunque no tiene efectos nocivos, satura servidores de correo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 25KB de promedio y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su motor SMTP (Simple Mail Transfer Protocol) se envía a los buzones de correo de la Libreta de Direcciones de Windows (WAB) o las contenidas en los archivos temporales de Internet o de los archivos con las siguientes extensiones:

o usando uno de los nombres:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

con cualquiera de los dominios extraídos del sistema del remitente, evitando enviarse a las direcciones con cualquiera de las cadenas:

mailer-d
spam
spm
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
iss.
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

invoca a los Servidores Exchange e integra los nombres de dominio a las siguientes cadenas para usarlas como servidores SMTP:

mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
gate.

El mensaje tiene las siguientes características:

Remitente, uno de los buzones extraídos del sistema o direcciones falsas con la técnica Spoofing.

Asunto, uno de los siguientes:

VY PUR FVTAVSVPN
Vy Frffb fhee Rebgvpb dhnqreab qv pnfn
Ercbegb cre han fhcresvpvr qv dhrr vzcbegnagv
vy cevzb fragvzragb r dhryyb qryy'vzcbgramn
Ybtvb r vzcbegnagv vy Y'nhgbprafhen Tnzrb
Vy dhnqreab qv pnfn Zntantuv-Mbembyv
Cerzrggb pur fbab ancbyrgnab,ibtyvb Rebgvfzb
[caracteres_aleatorios]

Contenido:

Il utilitio prevede:
diritto del malato
6. Sondaggio
7. Aggiungi ai Preferiti
Uno stupro Faccio il bagno con una donna che non conosco in un bel mare con un grande senso di gioia
Il Mediterraneo non ha mai interrotto nulla, non ha mai segnato separazioni. Anzi, in dai tempi della colonizzazione greca, era un bacino i cui bordi erano ricercati, biti.
[caracteres_aleatorios]

Adjunto, uno de los siguientes:

body
data
doc
document
file
message
readme
test
text
[caracteres_aleatorios]

con una de las extensiones:

Al activarse se copia a la carpeta %System% con el nombre mstasks.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSTASKS" = "%System%\mstasks.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del sistema verifica si el sistema está conectado a Internet y activa su rutina de envío masivo de mensajes de correo.

PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 26 de Octubre del 2005 detectan y eliminan este gusano.