|
MYDOOM.W gusano de Correo e ICQ intenta descargar un Backdoor de diversos
sitios en la web.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/MyDoom.W@mm,
I.worm.MyDoom.W@mm
 |
|
MyDoom.W es
un gusano
reportado el 14 de Septiembre del 2004, última variante de Mydoom, de
propagación
masiva
a través de mensajes de Correo con Remitentes disfrazados bajo la técnica
Spoofing, con archivos anexados de nombres
aleatorios con extensiones .EXE, .ZIP
o de doble extensión .JPG.PIF.
Intenta conectarse a diversos portales en la
web desde donde descargará un gusano/backdoor, el cual se propagará entre los
contactos del ICQ (portal comunitario y de mensajería instantánea).
|
Esta es una evidencia
muy preocupante de que el código fuente del gusano Mydoom
se ha venido distribuyendo en foros y algunos portales de codificadores de virus
desde el mes de Febrero del 2004 y se esperan mucho más variantes más.
Debido a su constante uso de los puertos 25 y 80 las
conexiones y navegación en Internet se volverá muy lenta en los
sistemas infectados.
Es
un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual C++, con una extensión de
18
KB y comprimido con el utilitario UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Usando su propio SMTP (Simple
Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en
la Libreta de Direcciones de Windows (WAB),
la carpeta Temporal de Internet o de archivos con las siguientes
extensiones:
- wab
- xls
- uin
- txt
- tbb
- stm
- sht
- php
- msg
- mht
- mbx
- jsp
- htm
- eml
- dht
- dbx
- cgi
- cfg
- asp
Evitando infectar direcciones de correo que tengan las siguientes
cadenas:
- gold-certs
- feste
- submit
- help
- service
- privacy
- somebody
- contact
- site
- someone
- anyone
- nothing
- nobody
- noreply
- noone
- webmaster
- news
- rating
- postmaster
- samples
- info
- root
- www
- upport
- abuse
- accoun
- certific
- listserv
- bsd
- ntivi
- admin
- icq.com
- mozilla
- utgers.ed
- tanford.e
- pgp
- acketst
- secur
- isc.o
- isi.e
- ripe.
- arin.
- sendmail
- rfc-ed
- ietf
- iana
- usenet
- fido
- kernel
- google
- ibm.com
- fsf.
- gnu
- mit.e
- math
- berkeley
- support
- messagelabs
- antivi
- kasp
- linux
- unix
- spam
- @iana
- @foo.
- .mil
- gov.
- .gov
- icrosoft
- ruslis
- nodomai
- mydomai
- example
- inpris
- borlan
- sopho
- panda
- icrosof
- syman
- avp.
El mensaje tiene las siguientes
características:
Remitente, emplea la técnica Email
spoofing que usa aleatoriamente los buzones extraídos de la
Libreta de Direcciones de Windows o uno de los siguientes primeros nombres:
- Leon
- Tommy
- Lloyd
- Bill
- Ronnie
- Alex
- Calvin
- Oscar
- Miguel
- Clifford
- Theodore
- Micheal
- Marcus
- Francisco
- Leroy
- Mario
- Bernard
- Alexander
- Barry
- Randall
- Troy
- Ricky
- Carl
- Henry
- Douglas
- Harold
- Peter
- Patrick
- Walter
- Dennis
- Jerry
- Joshua
- Gregory
- Raymond
- Andrew
- Stephen
- Eric
- Scott
- Frank
- Jeffrey
- Larry
- Jose
- Timothy
- Gary
- Matthew
- Jason
- Kevin
- Anthony
- Ronald
- Brian
- Edward
- Steven
- Kenneth
- George
- Donald
- Mark
- Paul
- Daniel
- Christopher
- Thomas
- Joseph
- Charles
- Richard
- David
- William
- Michael
- Robert
- John
- James
aleatoriamente con uno de los siguientes apellidos:
- Porter
- Tucker
- Stevens
- Simpson
- Webb
- Wells
- Freeman
- Murray
- Gomez
- Ortiz
- Marshall
- Cruz
- Parker
- Campbell
- Phillips
- Turner
- Roberts
- Perez
- Mitchell
- Carter
- Nelson
- Gonzalez
- Baker
- Adams
- Green
- Hill
- Lopez
- Wright
- King
- Hernandez
- Young
- Allen
- Hall
- Walker
- Lewis
- Rodriguez
- Clark
- Robinson
- Martinez
- Garcia
- Thompson
- Martin
- Harris
- White
- Jackson
- Anderson
- Taylor
- Moore
- Wilson
- Miller
- Davis
- Brown
- Jones
- Williams
- Johnson
- Smith
con cualquiera de los siguientes dominios:
- @cox.net
- @yahoo.com
- @msn.com
- @yahoo.co.uk
- @t-online.de
- @gmx.net
- @hotmail.com
- @aol.com
- @mail.com
- @dailymail.co.uk
Asunto, aleatoriamente uno de los siguientes:
- FW: jenna's photos :)
- FW: new photos
- FW: 2 new photos
- FW: hi, it's me
- FW: it's me
- FW: [en_blanco]
- FW: that's me :-D
- FW: my photos
- FW: hello sweety :>
- FW: hi
- FW: remember me?..
Contenido, uno de los
siguientes:
- -----Original Message-----
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus check my new photos
:))
miss you, jeny k
- -----Original Message-----
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
Check Out Archive.. So.. What Do You Think... Am I Hot? :)
Waining For Your Answer
Jena Key
- -----Original Message-----
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos(archived) you asked
jenny k
- -----Original Message-----
From: jenna k. (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: Cat my new fotos archived )) kiss, jenna k
- -----Original Message-----
From: Jeny
Sent: Tuesday, September 7, 2004 8:57 PM
To: Neo
see the photos in attached archive
:))
kiss you, jeny
- -----Original Message-----
From: Jena
Sent: Tuesday, September 7, 2004 5:23 AM
To: friend
Photos in archive.. So.. Am I Hot? :)
Waining For Your Answer
Jena
- -----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
To: Friends Group
in self-extracting archive my photos
Jenna :)
- -----Original Message-----
From: jenna (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: ma kittie
my photos archived ))
kiss, jenna
- -----Original Message-----
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus check out the new photos :))
miss you, jeny k
- -----Original Message-----
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
So.. What Do You Think... Am I Hot? :)
Waining For Your Answer
Jena Key
- -----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
in archive my new fotos
Jenna K :)
- -----Original Message-----
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos you asked
jenny k
- -----Original Message-----
From: jenna k. (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: Cat
my new fotos zipped ))
kiss, jenna k
- -----Original Message-----
From: Jeny
Sent: Tuesday, September 7, 2004 8:57 PM
To: Neo
see the photos
:))
kiss you, jeny
- -----Original Message-----
From: Jena
Sent: Tuesday, September 7, 2004 5:23 AM
To: friend
So.. Am I Hot? :)
Waining For Your Answer
Jena
- -----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
To: Friends Group
in archive my photos
Jenna :)
- -----Original Message-----
From: jenny
Sent: Tuesday, September 7, 2004 10:23 AM
To: Mr.X (e-mail)
photos you asked
jenny
- -----Original Message-----
From: jenna (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: ma kittie
my photos zipped ))
kiss, jenna
Al final de los contenidos se muestran uno de los siguientes pies de
mensajes:
- Attachment: No Virus found
Norton AntiVirus - www.symantec.de
- Attachment: No Virus found
F-Secure AntiVirus - www.f-secure.com
- Attachment: No Virus found
Norman AntiVirus - www.norman.com
- Attachment: No Virus found
Panda AntiVirus - www.pandasoftware.com
- Attachment: No Virus found
Kaspersky AntiVirus - www.kaspersky.com
- Attachment: No Virus found
MC-Afee AntiVirus - www.mcafee.com
- Attachment: No Virus found
Bitdefender AntiVirus - www.bitdefender.com
- Attachment: No Virus found
MessageLabs AntiVirus - www.messagelabs.com
Anexado, uno de los
siguientes:
- myfoto.exe.safe
- myfoto.exe
- photos.selfextracting.exe.safe
- photoarchive.exe
- photofile.exe.safe
- arc.exe.safe
- my_foto.exe
- fotos.exe
- foto.exe
- photos.exe.safe
- photo_se.exe
- new_photos.exe
- newphotos.exe
- myphotos_arc.exe
- my_photos.exe
- photos_arc.exe
- new_photos.zip
- images.zip
- fotos.zip
- my_photos.zip
- myphotos.zip
- photos.zip
Si tiene la extensión .ZIP,
contiene los archivos:
- me_01.jpg .pif
- 2004042301.jpg .pif
- with_flowers.jpg .pif
- sunny.jpg .pif
- photo08.jpg .pif
- nude_.jpg .pif
- marie_dancing.jpg .pif
- julia038.jpg .pif
Al activarse el gusano se copia a la carpeta %System%
con el nombre de Win32s.exe y para ejecutarse la próxima vez que se re-inicie el sistema genera
la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32System" = "%System%\win32s.exe"
A continuación se copia a:
C:\Documents and Settings\[nombre_de_usuario]\Menú
Inicio\Programas\Inicio\autorun.exe
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Al siguiente inicio del sistema el gusano intenta descargar un gusano/backdoor de los siguientes URL:
- http://www.mercyships.de (portal alemán)
- http://69.93.58.116 (con acceso restringido)
- http://64.40.98.94 (URL de prueba)
- http://www.il-legno.it (portal italiano)
- http://www.professionals-active.com (portal
italiano)
- http://www.masteratwork.com (con enlace
de ingreso no operativo)
Si el backdoor es descargado, cambia la llave
de registro y se propaga a través del ICQ.
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de correo
usando su propio SMTP con Remitentes disfrazados bajo la técnica Email Spoofing, con nombres
aleatorios construidos de nombres, apellidos y dominios de correo.
-
Evita enviarse a direcciones con
ciertas cadenas de texto.
-
Los contenidos de mensajes tienen
un pie de página con falsos reportes de antivirus.
-
Intenta conectarse a diversos sitios en la web
desde los cuales descargará un gusano/backdoor,
-
Este gusano/backdoor propiciará la difusión de
Mydoom.W entre los usuarios que se conecten a través del portal comunitario y
de mensajería instantánea ICQ.
-
Debido a sus intentos de conexión vía HTTP y el
puerto 25 las conexiones y navegación en Internet se volverá muy lenta.
PER ANTIVIRUS®
versiones 8.8 y 8.9 con registro de virus al 14 de Septiembre del 2004 detectan y eliminan
eficientemente este gusano, sus variantes existentes y por crearse por su
tecnología WiseHeuristics.
