NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Nuevo virus mass mail y peer-to-peer de ALTA PROPAGACIÓN

 

Nombre de virus: W32/MyDoom@MM y W32/Mydoom.b@MM
Alias conocidos:
W32.Novarg.A@mm, Win32/Shimg, WORM_MIMAIL.R
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Propagación:
Por correo electrónico y peer-to-peer
Activación: Por ejecución de fichero adjunto
Detección: desde DATS 4319
Motor necesario: desde 4.2.60
Infección actual:
Elevada
(Inicial, Media, Elevada)

W32/MyDoom@MM es un gusano mass-mail y peer-to-peer que llega en un mensaje de e-mail como el siguiente:

Remitente: (dirección de remitente falsa)
Asunto: (Variado, por ejemplo alguno de los siguientes)

· Error

· Status

· Server Report

· Mail Transaction Failed

· Mail Delivery System

· hello

· hi

Mensaje: (Variado, por ejemplo alguno de los siguientes)

· The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

· The message contains Unicode characters and has been sent as a binary attachment.

· Mail transaction failed. Partial message is available.

Adjunto: (variado [.bat, .exe, .pif, .cmd, .scr] - a menudo llega en un archivo ZIP) (22.528 bytes)

· ejemplos (nombres comunes, pero pueden ser aleatorios)

· doc.bat

· document.zip

· message.zip

· readme.zip

· text.pif

· hello.cmd

· body.scr

· test.htm.pif

· data.txt.exe

· file.scr

El icono utilizado por el fichero pretende engañar y hacer creer que el adjunto es un fichero de texto:

Cuando se ejecuta este fichero, se copia al directorio WINDOWS SYSTEM con el nombre taskmon.exe

· %SysDir%\taskmon.exe

(Donde %Sysdir% es el directorio de sistema de Windows, por ejemplo C:\WINDOWS\SYSTEM)

Luego crea la siguiente entrada de registro para ejecutarse al inicio de Windows:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

 

El virus utiliza una DLL que se crea en el directorio Windows System:

· %SysDir%\shimgapi.dll (4.096 bytes)

 

Esta DLL se inyecta en el proceso del EXPLORER.EXE tras reiniciar a través de esta clave de registro:

· HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll


El componente de mailing recopila direcciones del sistema local de ficheros con las siguientes extensiones
:

· wab

· adb

· tbb

· dbx

· asp

· php

· sht

· htm

· txt

 

Adicionalmente, el gusano contiene cadenas, que utiliza para generar direcciones aleatoriamente.

El virus se envía a las direcciones recopiladas via SMTP. El gusano supone el servidor e-mail destino, incluyendo antes del nombre del dominio las siguientes cadenas:

· mx.

· mail.

· smtp.

· mx1.

· mxs.

· mail1.

· relay.

· ns.


Propagación Peer To Peer
El gusano se copia al directorio compartido de KaZaa con los siguientes nombres de fichero:

· nuke2004

· office_crack

· rootkitXP

· strip-girl-2.0bdcom_patches

· activation_crack

· icq2004-final

· winamp

 


Componente de Acceso Remoto
El gusano abre una conexión en el puerto TCP 3127 para permitir acceso remoto al equipo.


Payload de Denegación de Servicio
En el primer inicio del sistema el 1 de Febrero o posterior, el gusano cambia su comportamiento mass mailing para iniciar un ataque de denegación de servicios contra el dominio sco.com. Este ataque de denegación de servicios finalizará al inicio del sistema del 12 de Febrero o posterior, y desde ese momento el único comportamiento del gusano será continuar escuchando en el puerto TCP 3127.

 

W32/Mydoom.b@MM

Para la variante W32/Mydoom.b@MM, utiliza exactamente la misma técnica pero con otros ficheros y modificando el hosts. Para controlar esta variante es necesario disponer de los DAT 4320


Detección y eliminación
El gusano se controla desde los DAT 4320 , para su eliminación se recomienda ejecutar nuestra utilidad ELIMYDOA .

SATINFO, VIRUSCAN SPAIN SERVICE 27 de Enero de 2004

Anterior