|
W32/MyDoom.@U@mm, I.worm.MyDoom.U@mm
MyDoom.U es un destructivo gusano/backdoor reportado el 06 de Septiembre del 2004, variante de Mydoom, de propagación masiva a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, con archivos anexados de nombre aleatorios con extensiones .EXE o .ZIP, esta última a su vez contiene archivos de una o doble extensión.
Se propaga también vía la red P2P KaZaa, descarga un archivo Backdoor que abre el puerto TCP 5422 el mismo que permitirá al autor del virus tomar control de los sistemas infectados en forma remota.
Intenta ocasionar un ataque DoS al portal de Microsoft.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 72 KB para el archivo EXE y 8 KB para el DLL, estando el primero comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB), la carpeta Temporal de Internet o de archivos con las siguientes extensiones:
Evitando infectar direcciones de correo que tengan las siguientes cadenas:
El mensaje tiene las siguientes características:
Remitente, emplea la técnica Email spoofing que usa aleatoriamente los buzones extraídos de la Libreta de Direcciones de Windows o uno de los siguientes nombres:
con cualquiera de los dominios existentes en los sistemas infectados:
Ejemplo: andrew@microsoft.com
Asunto, aleatoriamente uno de los siguientes:
Contenido, uno de los siguientes:
Anexado, puede ser indistintamente un archivo de extensión .EXE o .ZIP
Si tiene la extensión .ZIP, en el primer caso contiene el archivo con una de las extensiones:
De lo contrario el archivo tendrá doble extensión, siendo la primera una de las siguientes:
y la segunda extensión una de estas:
Al activarse el archivo infectado libera un archivo de texto con caracteres "basura" en la carpeta temporal llamada Message y ejecuta el archivo Notepad.exe con dicho contenido:
El gusano se copia a la carpeta %System% con los nombres de Tasker.exe y Nemog.dll y para ejecutarse la próxima vez que se re-inicie el sistema genera las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Task" = "%System%\tasker.exe"
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"default" = "%System%\nemog.dll"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para infectar vía la red Kazaa el gusano toma control de las carpetas de descarga de todas las unidades de disco al invocar la siguiente llave:
[HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0]
Luego se auto-copia a esas carpetas con cualquiera de los nombres:
Y una de las siguientes extensiones:
Actuando como Backdoor abre el puerto TCP 5422 (Salient MUX), a través del cual se conecta con el autor del virus para recibir instrucciones, descargar archivos con códigos malignos y ejecutarlos o tomar el control de los sistemas infectados, en forma remota.
Finalmente, el gusano intenta ocasionar un ataque DoS a www.microsoft.com aunque sin tener éxito.
Dentro de su código se lee las siguientes frases:
| MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will complete my projects ok baby!,the second author for mydoom worms!!, he will complete the project, more is coming soon better than better,Kuwait. |
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.8 con registro de virus al 06 de Septiembre del 2004 detecta y elimina eficientemente este gusano/backdoor.
