Mydoom.I

MYDOOM.I, gusano de Correo borra registro de Mydoom.A, ejecuta el Notepad con texto "basura", etc.

W32/MyDoom.I@mm, I.worm.MyDoom.I@mm

MyDoom.I es un gusano reportado el 19 de Abril del 2004, variante de Mydoom, de alta propagación masiva a través de mensajes de Correo con Remitente disfrazado bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados con una o dos extensiones elegidos en forma aleatoria de una relación contenida dentro del código del virus.

Ejecuta la Libreta de Notas de Windows, libera un archivo de texto "basura" en la carpeta temporal de Windows, borra el registro creado por el gusano Mydoom.A y ocasiona un ataque DoS a una determinada dirección URL.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Assembler con una extensión de 43.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB) haciendo referencia a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\nombre_de_archivo_WAB]

También busca los buzones de correo y los de dominios web ubicados en los archivos temporales de Internet Explorer que tengan las siguientes extensiones:

Contiene una rutina que excluye los dominios con las siguientes cadenas de texto:

.gov
.mil
acketst
arin.
avp
berkeley
borlan
bsd
dials
drweb
example
fido
foo.
fsf.
gnu
google
gov.
hotmail
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
math
microsoft
mit.e
mozilla
msn.
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed

Excluye además las direcciones de correo que tengan las cadenas de texto:

root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun

Remitente: emplea la técnica Email spoofing, para disfrazar las verdaderas direcciones de los Remitentes, las cuales construye de la combinación de los siguientes nombres:

john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra

Con uno de los dominios:

aol.com
msn.com
yahoo.com
hotmail.com

Asunto, uno de los siguientes:

[en_blanco]
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Contenido, uno de los siguientes:

[en_blanco]
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Anexado, cualquiera de los siguientes:

document
readme
doc
text
file
data
test
message
body

Estos archivos pueden tener hasta dos extensiones. En este caso, la primera es una de las siguientes, seguida de varios espacios en blanco:

La segunda extensión o en le caso que el archivo Anexado tenga una sola extensión es una de las siguientes:

El icono que representa al archivo Anexado simula ser uno de formato texto:

Al ejecutar el gusano, éste libera un archivo de texto con caracteres "basura" en la carpeta temporal llamada Message y ejecuta el archivo Notepad.exe con dicho contenido:

Luego se auto-copia a la carpeta %System% con el nombre de Svhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Svhost" = "%System%\svhost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Simultáneamente borra la llave de auto-ejecución del gusano Mydoom.A:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon"

El gusano intentará ocasionar un ataque DoS o de Negación de Servicio al dominio:

www.domain1own.com

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Remitente disfrazado bajo la técnica Email Spoofing, construido de una lista de nombres y determinados dominios.
Los asuntos y contenidos son aleatorios.
El archivo Anexado tiene una o dos extensiones
Se auto-envía a las direcciones de correo de la Libreta de Direcciones de Windows y a los buzones de correo y los de dominios web ubicados en los archivos temporales de Internet Explorer de archivos de determinadas extensiones.
Excluye ciertas cadenas de texto y nombres de dominios.
El icono del anexado grafica un archivo de texto.
Hace uso de su propio servidor SMTP que construye los mensajes combinando los nombre y cadenas de textos.
Borra el registro creado por el gusano Mydoom.A.
Libera un archivo de texto "basura" y ejecuta el Notepad.exe con ese contenido.
Ocasiona un ataque DoS o de Negación de Servicio al portal www.domain1own.com

PER ANTIVIRUS® versión 8.6 con registro de virus al 19 de Abril del 2004 detecta y elimina este gusano.