Mydoom.Q

MYDOOM.Q, gusano de Correo se propaga masivamente intenta descargar Backdoor de dos sitios web.

W32/MyDoom.@Q@mm, W32/Mydoom.S, W32/Ratos@mm, I.worm.MyDoom.Q@mm

MyDoom.Q es un gusano reportado el 17 de Agosto del 2004, variante de Mydoom, de propagación masiva a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, con un archivo anexado de nombre photos_arc.exe.

Intenta descargar un archivo Backdoor de 2 sitios en la web (actualmente desactivados), pero a causa de su alta propagación masiva disminuye la velocidad del tráfico en muchas conexiones a Internet.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 26.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direciones de Windows (WAB), la carpeta Temporal de Internet o de archivos con las siguientes extensiones:

Evitando infectar direcciones de correo que tengan las siguientes cadenas:

abuse
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
upport
usenet
utgers.ed
webmaster

El mensaje tiene las siguientes características:

Remitente: emplea la técnica Email spoofing que usa aleatoriamente uno de los siguientes nombres:

john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra

con cualquiera de los dominios:

@aol.com
@hotmail.com
@msn.com
@yahoo.com

Asunto: photos

Contenido: LOL!;))))

Anexado: photos_arc.exe

Al activarse el archivo infectado éste libera un archivo de texto con caracteres "basura" en la carpeta temporal llamada Message y ejecuta el archivo Notepad.exe con dicho contenido:

Luego crea el Mutex "43jfds93872" para evitar ejecutarse en memoria más de una vez y se asegura generando la siguiente llave que marca al sistema como ya infectado:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"InstaledFlashhMx" = "1"

El gusano se copia al directorio %Windir% y la carpeta %System% respectivamente como:

%Windir%\rasor38a.dll
%System%\winpsd.exe

Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winpsd" = "%System%\winpsd.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Después de ejecutar su rutina de propagación masiva de mensajes de correo, el gusano intenta conectarse a dos direcciones en la web para descargar el Backdoor Winvpn32.exe y copiarlo a la carpeta %System% desde:

www.richcolour.com/ispy1.jpg (actualmente desactivada)
www.richcolour.com/coco3.jpg (actualmente desactivada)
www.richcolour.com/guestbook/temp/temp587.gif (actualmente desactivada)
www.zenandjuice.com/guestbook/temp/temp728.gif (actualmente desactivada)

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con Remitentes disfrazados bajo la técnica Email Spoofing, con nombres aleatorios asociados a determinados dominios.
Se auto-envía a las direcciones de correo que extrae de la Libreta de Direcciones de Windows, archivos de la carpeta temporal de Internet y archivos de determinadas extensiones.
Evita enviarse a direcciones con ciertas cadenas de texto.
Intenta descargar un Backdoor de 2 sitios en la web, actualmente desactivados.
Por su alta propagación masiva disminuye la velocidad del tráfico en muchas conexiones a Internet.

PER ANTIVIRUS® versión 8.8 con registro de virus al 17 de Agosto del 2004 detecta y elimina eficientemente este gusano/backdoor.