Mydoom.L

MYDOOM.L, gusano/backdoor de Correo y P2P captura teclas digitadas que transmite vía puerto TCP, etc.

W32/MyDoom.L@mm, I.worm.MyDoom.L@mm

MyDoom.L es un destructivo gusano/backdoor reportado el 21 de Julio del 2004, variante de Mydoom, de alta propagación masiva a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

También se propaga vía las redes de compartimiento Peer to Peer y otros servicios de Internet de descarga de archivos.

Posee su propio servidor SMTP que construye los mensajes combinando nombres o cadenas de texto contenidas en su código viral.

Contiene un componente Backdoor que envía información al autor del virus vía el puerto TCP 1042 (no asignado) pudiendo capturar teclas digitadas, incluyendo nombres de usuarios, contraseñas y controlar los sistemas en forma remota.

Se copia al directorio de Windows con el nombre de Lsass.exe, que es un servicio real del sistema (Local Security Authority Service) el cual autentica la identidad de los usuarios que acceden a una PC de uso personal, estación de trabajo o a una red local.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 21 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

doc
txt
htm
html

El gusano evita infectar direcciones de correo que tengan las siguientes cadenas:

.gov
.mil
abus
accoun
admi
anyone
arin.
avp
bar.
bug
contact
crosoft
domain
example
feste
foo.
gmail
gnu.
gold-certs
google
gov.
help
hotmail
info
james
john
labs
listserv
master
math
microsoft
msn.
nobody
noone
not
nothing
ntivi
ophos
page
panda
privacycertific
rarsoft
rating
ripe.
root
sales
sample
sarc.
seclist
secur
service
sf.net
site
soft
someone
sourceforge
spam
spersk
submit
suppor
syma
the.bat
update
uslis
winzip
you
your

El mensaje tiene las siguientes características:

Remitente: emplea la técnica Email spoofing que disfraza las verdaderas direcciones de los Remitentes con uno de los siguientes nombres:

Postmaster
Mail Administrator
Automatic Email Delivery Software
Post Office
The Post Office
Bounced mail
Returned mail
MAILER-DAEMON
Mail Delivery Subsystem

seguido de las siguientes direcciones:

noreply@
MAILER-DAEMON@
postmaster@

con el nombre del dominio de Correo del destinatario

Asunto, uno de los siguientes:

say helo to my litl friend
click me baby, one more time
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error

Contenido, uno de los siguientes:

The original message was included as attachment
Message could not be delivered
This Message was undeliverable due to the following reason:

Your message was not delivered because the destination computer was
not reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.

Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message was not delivered within [dígitos_aleatorios] days:
Host [nombre_del_host_de_remitente_falso] is not responding.

The following recipients did not receive this message:
[dirección_falsa_de_remitente]

Please reply to postmaster [nombre_del_host_del_falso_remitente]
if you feel this message to be in error.
The original message was received at [Fecha/hora]
from [A_destinatario_del_mensaje]

----- The following addresses had permanent fatal errors -----
[A_destinatario_del_mensaje]
----- Transcript of session follows -----
while talking to [nombre_del_host_de_destinatario].:
>>> MAIL From:[nombre_de_remitente_del_mensaje]
<<< 501 [nombre_del_host_de_remitente]... Refused
The original message was received at [Fecha/hora]
from [nombre_de_remitente_del_mensaje]

----- The following addresses had permanent fatal errors -----

Anexado, uno de los siguientes:

attachment
document
file
letter
mail
message
readme
text
transcript

Con cualquiera de estas extensiones:

El gusano se copia al directorio %Windir% con el nombre Lsass.exe y crea un archivo de nombre aleatorio con extensión .TXT en la carpeta %Temp% del sistema, para almacenar la información extraída. Luego crea la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\POSIX]

Con esta llave se aprovecha una vulnerabilidad POSIX que permitiría a un intruso ejecutar códigos maliciosos.

Para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Traybar" = "%Windir%\lsass.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Al siguiente re-inicio del sistema el gusano se copia a las carpetas cuyas nombres tengan las cadenas:

incoming
ftproot
download
shar

Con los siguientes nombres:

index
Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2.and.key
Winamp 5.0 (en) Crack
Winamp 5.0 (en)

y cualquiera de estas extensiones:

exe
com
ShareReactor.com

Actuando como Backdoor abre el puerto TCP 1042 a través del cual realiza transmisiones entre el sistema infectado y el autor del virus. La información es almacenada en un archivo temporal y después de ser enviada, este archivo es borrado.

El parche para la vulnerbilidad POSIX puede ser descargado desde este enlace:

http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Remitentes disfrazados bajo la técnica Email Spoofing, con asuntos, contenidos y archivos anexados aleatorios.
Se auto-envía a las direcciones de correo que extrae de archivos de determinadas extensiones.
Evita enviarse a direcciones con ciertas cadenas de texto.
Hace uso de su propio servidor SMTP que construye los mensajes combinando los nombre y cadenas de textos.
También se propaga vía redes de compartimeinto de archivos Peer to Peer y otros servicios de Internet de descarga.
Puede aprovechar la vulnerabilidad POSIX detallada en el Boletín MS04-20 de Microsoft.
Libera un componente Backdoor que abre el puerto 1042, a través del cual intercambiará información con el autor del virus, pudiedo capturar las teclas digitadas y tomar control en forma remota de los sistemas infectados.

PER ANTIVIRUS® versión 8.7 y 8.8 con registro de virus al 21 de Julio del 2004 detecta y elimina eficientemente este gusano/backdoor.