Mydoom.H

MYDOOM.H, gusano/backdoor de Correo termina procesos abre puerto TCP ocasiona ataque DoS, etc.

W32/MyDoom.H@mm, I.worm.MyDoom.H@mm

MyDoom.H es un destructivo gusano/backdoor reportado el 04 de Marzo del 2004, variante de Mydoom, de alta propagación masiva a través de mensajes de Correo con Remitente disfrazado bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

Posee su propio servidor SMTP que construye los mensajes combinando nombres o cadenas de texto contenidas en su código viral, contiene un componente Backdoor que transmite información al autor del virus vía el puerto TCP 1080, termina procesos en ejecución.

Sobre-escribe archivos de ciertas extensiones a los cuales agrega una segunda extensión. Finalmente intenta ocasionar un ataque DoS de Negación de Servicio al portal:

http://www.symantec.com

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Assembler con una extensión de 31.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

Contiene instrucciones para evitar enviarse a las direcciones que tengas estas cadenas de texto:

norepl
master
accoun
google
certific
listserv
linux
ntivi
icrosoft
admin
the.bat
gold-certs
ca
feste
submit
not
help
privacy
somebody
site
rating
bugs
someone
anyone
nobody
noone
samples
root
example.com
ymante
slashdot.
sf.net
sourceforge
mozilla.
uci.edu
ucsd.edu
rutgers.edu
berkeley
stanford.edu
packetstorm
secur
isc.org
isi.edu
sendmail.
rfc-edit
kernel.
google.
ibm.com
urlon
fsf.
gnu.
mit.edu
bsd
unix
ietf.
ripe.
arin.
iana.
.mil
gov.
.gov
support
ssagelab
panda
hotmail.com
msn.c
icrosoft.
norma
avp
ruslis
trendmic
trend.c
nai.co
sopho
spam
www
spm
abuse
.edu

Para su envío emplea la técnica Email spoofing, consistente en encubrir o disfrazar las verdaderas direcciones de los Remitentes. El mensaje tiene las siguientes características:

Remitente: usa uno de los siguientes nombres:

alex
bill
bob
james
john
kevin
peter
sales
sales
sales
sam
stan
tom
[caracteres_aleatorios]

con una de los siguientes dominios:

aol.com
msn.com
yahoo.com
hotmail.com
[caracteres_aleatorios].edu

Asunto, entre su larga lista se encuentran:

[en_blanco]
:)
:-)
Address verification
Alert
Attention
Auto-reply
Automatic notification
Bank information
Daily Report
Email verification
Empty
Expired account
For your eyes only
Interesting
Micro$oft
Microsoft
Please, confirm the registration
Registration
Registration rejected
Rejected
Reply
Request
Response
See you soon
Warning
You have been successfully registered
Your account details
Your account is about to be expired
Your account is expired
Your details
Your profile
Your request
Your request
account details
anna
beauty
confirmed
corrupted
dear friend!
details
do you love me
do you still love me
document
excel
excuse me
from me
fw:
greetings
hello
hello
hello my friend
hello! :)
here
here is the document
hey
hey!
hi!
hi! :)
how are you?
i can tell you the future
i need you
important
jessica
join
just some stuff
kate
kleopatra
maria
melissa
message
micro$oft must die. support us!
missed
my details
my photos
notification
pamela
photo
please read
price
price list
price-list
pricelist
question
re:
read!!!
report
see you
service
some stuff
spreadsheet
stuff
summary
thank you
thanks
thanks!
unknown
verification
we're experiencing technical problems
we're unable to process your request
your account
your archive
your chance
your document
your letter
your music
your website

Contenido, uno de los siguientes:

Details are in the attached document
Full message is in the attached documen
Here is the document
Here is the file
Here it is
Hi! Check the attachment for details
Look at the attached file
Look at the document
Ok
Okay
Open the document
Please have a look at the attached file
Please read the attached file
Please, read and let me know what do yo
Please, reply
Re:
Read the attached message
Read the document
Read this
See attachemnt
See attachment
See the attached document
See the attached file for details
See the attached message
See you
Test
Your document is attached
Your file is attached
test

Anexado, uno de los siguientes:

AttachedDocument
AttachedFile
Document
Letter
MoreInfo
TextDocument
TextFile
account
all_document
application
archive
att
attach
attachment
bill
check
description
details
doc
document
file
for_you
found
id
important
info
information
letter
mail
message
message_details
message_part2
misc
more
msg
msg2
music
news
news
no
note
object
part2
payment
paypal
pic
post
posting
price
problem
ps
readme
reply
response
stuff
test

Con cualquiera de estas extensiones:

En forma aleatoria el archivo puede tener la extensión ZIP y el icono que siempre representa al archivo simula ser uno con formato de MS Word:

El gusano evita infectar direcciones de correo que tengan las siguientes cadenas:

mozilla
utgers.ed
tanford.e
fsf.
gnu mit.e
bsd
math
unix
berkeley
ripe.
arin.
sendmail
rfc-ed
ietf
iana
irix
solaris
sgi.com
sun.com
slashdot
sourcef
usenet
fido
linux
kernel
google
ibm.com
pgp
acketst
secur
isc.o
isi.e
nai.co
essagela
suppo
foo.
.mil
gov.
.gov
ruslis
nodoma
mydoma
example
inpris
borlan
sopho
panda
hot
mail msn.
icrosof
syma
avp

Al ser activado el gusano crea el mutex (Exclusión Mutua) [función_aleatoria_del_sistema_theta] para evitar ser ejecutado en memoria más de una vez e inmediatamente después activa el archivo Notepad.exe, sin contenido, mostrando en pantalla:

Luego se auto-copia a la carpeta %System% usando nombres generados sin sentido lógico, en forma aleatoria con las extensiones .EXE y .DLL:

[caracteres_aleatorios].exe: una copia del gusano.
[caracteres_aleatorios].dll: componente backdoor del gusano.

Los nombres generados tienen caracteres compuestos en forma aleatoria por una letra mayúscula seguida de minúsculas y eventualmente pueden ser todas minúsculas.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"[caracteres_aleatorios]" = "%System%\[caracteres_aleatorios].exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"[caracteres_aleatorios]" = "%System%\[caracteres_aleatorios].exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Asimismo agrega el valor:

"default" = "%System%\[caracteres_aleatorios].dll"

a las llaves de registro:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
[HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]

con el propósito de que el archivo Explorer.exe ejecute el componente Backdoor .DLL

Al siguiente re-inicio el gusano revisa todos los procesos que estuviesen en ejecución en el sistema infectado y termina cualquiera de los siguientes:

adaware.exe
alevir.exe
arr.exe
au.exe
backweb.exe
bargains.exe
belt.exe
blss.exe
bootconf.exe
bpc.exe
brasil.exe
bundle.exe
bvt.exe
cfd.exe
cmd32.exe
cmesys.exe
datemanager.exe
dcomx.exe
divx.exe
dllcache.exe
dllreg.exe
dpps2.exe
dssagent.exe
emsw.exe
explore.exe
fsg_4104.exe
gator.exe
gmt.exe
hbinst.exe
hbsrv.exe
hotfix.exe
hotpatch.exe
htpatch.exe
hxdl.exe
hxiul.exe
idle.exe
iedll.exe
iedriver.exe
iexplorer.exe
inetlnfo.exe
infus.exe
infwin.exe
init.exe
intdel.exe
isass.exe
istsvc.exe
jdbgmrg.exe
kazza.exe
keenvalue.exe
kernel32.exe
launcher.exe
lnetinfo.exe
loader.exe
mapisvc32.exe
md.exe
mfin32.exe
mmod.exe
mostat.exe
msapp.exe
msbb.exe
msblast.exe
mscache.exe
msccn32.exe
mscman.exe
msdm.exe
msdos.exe
msiexec16.exe
mslaugh.exe
msmgt.exe
msmsgri32.exe
msrexe.exe
mssys.exe
msvxd.exe
netd32.exe
nssys32.exe
nstask32.exe
nsupdate.exe
onsrvr.exe
optimize.exe
patch.exe
pgmonitr.exe
powerscan.exe
prizesurfer.exe
prmt.exe
prmvr.exe
ray.exe
rb32.exe
rcsync.exe
run32dll.exe
rundll.exe
rundll16.exe
ruxdll32.exe
sahagent.exe
save.exe
savenow.exe
sc.exe
scam32.exe
scrsvr.exe
scvhost.exe
service.exe
servlce.exe
servlces.exe
showbehind.exe
sms.exe
smss32.exe
soap.exe
spoler.exe
spoolcv.exe
spoolsv32.exe
srng.exe
ssgrate.exe
start.exe
stcloader.exe
support.exe
svc.exe
svchostc.exe
svchosts.exe
svshost.exe
system.exe
system32.exe
sysupd.exe
teekids.exe
trickler.exe
tsadbot.exe
tvmd.exe
tvtmd.exe
webdav.exe
win-bugsfix.exe
win32.exe
win32us.exe
winactive.exe
window.exe
windows.exe
wininetd.exe
wininit.exe
wininitx.exe
winlogin.exe
winmain.exe
winnet.exe
winppr32.exe
winservn.exe
winssk32.exe
winstart.exe
winstart001.exe
wintsk32.exe
winupdate.exe
wnad.exe
wupdater.exe
wupdt.exe

Y cualquier otro proceso que tenga las siguientes cadenas:

avpupd
avwupd
beagle
click
d3du
fuck
hotactio
intren
penis
porn
pussy
reged
sperm
taskmg
taskmo
updat
upgrad
utpost.
wkufind

Entre 10 y 20 minutos después de que el gusano es ejecutado por primera vez, éste verifica la existencia del archivo Feedlist en el directorio raíz de C:\ y en caso de no encontrarlo ejecuta un ataque DoS o de Negación de Servicio con peticiones GET vía el puerto TCP 80 (HTTP) al dominio:

www.symantec.com

El gusano revisa las unidades de C: a la Z: buscando archivos con las extensiones:

Lego crea copias de sí mismo usando los archivos que encuentre con las extensiones anteriores a las cuales le sobre-escribe una segunda extensión .EXE o .SCR así como también puede sobre-escribir las extensiones .PIF con su código viral.

Actuando como Backdoor el componente DLL abre el puerto TCP 1080 a través del cual realiza transmisiones entre el sistema infectado y el autor del virus. La información es almacenada en un archivo temporal y después de ser enviada, este archivo es borrado.

En su código se puede leer

"to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app."

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Remitentes disfrazados bajo la técnica Email Spoofing, con asuntos, contenidos y archivos anexados aleatorios, estos últimos compuesto de caracteres sin ninguna lógica.
Se auto-envía a las direcciones de correo que extrae de archivos de determinadas extensiones.
Evita enviares a direcciones con ciertas cadenas de texto.
El icono del anexado grafica un archivo de MS Word.
Hace uso de su propio servidor SMTP que construye los mensajes combinando los nombre y cadenas de textos.
Libera un componente Backdoor que abre el puertos 1080, a través del cual intercambiará información con el autor del virus.
Termina determinados procesos en ejecución o aquellos que tengan ciertas cadenas de texto.
Sobre-escribe archivos de determinadas extensiones a los cuales le agrega una segunda extensión.
Ocasiona un ataque DoS o de Negación de Servicio al portal www.symantec.com

PER ANTIVIRUS® versión 8.5 con registro de virus al 04 de Marzo del 2004 detecta y elimina eficientemente este gusano/backdoor.