Nodoom

NODOOM, gusano de Correo se propaga masivamente haciendo uso del propio servidor SMTP de los sistemas.

W32/Nodoom@mm, I.worm.nodoom@mm

Nodoom es un gusano reportado el 18 de Febrero del 2004, de alta propagación masiva a través de mensajes de Correo con Asuntos, Contenidos y archivos Anexados aleatorios con diversas extensiones. Una la técnica Spoofing para el Remitente.

Hace uso del servidor SMTP (Simple Mail Transfer Protocol) de los sistemas que infecta y se auto-envía a los buzones de correo de archivos con determinadas extensiones.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 5 KB y comprimido con el utilitario FSG:

http://www.exetools.com

Esta especie viral usa el motor SMTP (Simple Mail Transfer Protocol) de los sistemas que infecta y se auto-envía masivamente a las direcciones de correo capturadas en los archivos con las extensiones:

DBX
EML
HTM
HTML
MBX
NCH
OCS
TBB
TXT
MMF

Los mensajes tienen las siguientes características:

Remitente: usa la técnica Email spoofing, que disfraza la dirección del Remitente.
Asunto, uno de los siguientes:

Happy Birthday
Shit happens...
Virus Alert: W32.Nodoom.A@mm
SoBig SoSmall
I can't recall what happened but..
I don't understand..
Is this the Smallest C++ MassMailer???

Contenido, uno de los siguientes:

Here are the files you asked for, bcheers
please explain me this attachment, it confused me..
SoSmall, SoCold, SoNice, SoGood, SoWarm..
Can you recall what happened at the party last friday?
I'm having serious problems, i really should stop smoking!
Maybe the picture files attached will explain it to you...
MessageLabs are the first to report of the new Nodoom Internet Worm
Please install the patch attached in this email to prevent outbreaks
Is this what where all about?

Anexado, uno de los siguientes:

antiserum_1.exe
myfiles.exe
weird.jpg[espacios_intermedios].zip.exe
file.txt[espacios_intermedios].exe
screensaver.scr
patch.exe
pics.pif
documents.exe

Al ejecutar el archivo anexado el gusano crea un mutex (Exclusión Mutua) denominado Ctsls-1x8-MutextTIp para evitar la generación de múltiples auto-copias en la memoria de Windows.

Antes de empezar sus rutinas de infección verifica si el mutex previamente creado está presente en el sistema y no infectará. Del mismo modo que la fechas del sistema correspondan a los meses de Enero o Febrero, en caso contrario el gusano no será activado.

Dadas las condiciones, se auto-copia a la carpeta %System% como Ctsls.exe y para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Ctsls" = "%System%\Ctsls.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

También libera una copia de sí mismo en formato Base64 de 7 KB de extensión, en la carpeta %System% con el nombre de Ynit.tmp

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato, que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para poder ser representados por caracteres imprimibles.

Para usar el servidor SMTP instalado por defecto del sistema infectado y re-enviarse masivamente, el gusano hace uso de la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]
"Default Mail Account"= "SMTP Server"

Igualmente obtiene el valor de la variable Default Mail Account del siguiente registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager]
"Default Mail Account = "Default Mail Account"

El valor Default Mail Account es la cuenta de Correo que el gusano usa para el envío masivo de mensajes y que no necesariamente puede ser la dirección más empleada por el usuario de un sistema.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso del servidor SMTP instalado por defecto en los sistemas infectados.
Se auto-envía a las direcciones de correo de archivos con determinadas extensiones.
Crea un mutex, para evitar volver a infectar.
Infecta únicamente durante los meses de Enero y Febrero.
Emplea la técnica Spoofing para disfrazar a los verdaderos Remitentes.
Usa Asuntos, Contenidos y archivos Anexados elegidos aleatoriamente de una lista contenida en el código.
Aunque no tiene efectos destructivos su propagación ha sido reportada en diversos países del mundo.

PER ANTIVIRUS® versión 8.5 con registro de virus al 18 de Febrero del 2004 detecta y elimina eficientemente este gusano.