MyDoom ataca de nuevo

Nombre:MyDoom.M
ALIAS: I-Worm.Mydoom.M, W32/Mydoom.o@MM, I-Worm.Mydoom.R, W32/Mydoom.L, Mydoom.N

Solución

Resumen

Mydoom.M es un gusano de correo masivo que manda correos con mensajes parecidos a errores de sistema y advertencias automáticas de Spam.

El gusano contiene un backdoor que escucha por el puerto 1034/TCP.

Descripción detallada

Mydoom.M llega en un correo comprimido como un archivo ejecutable. El gusano esta comprimido con un UPX y le añade al azar una ruta falsa para evadir su fácil detección.

Infección del Sistema

Cuando el archivo del gusano se ejecuta, este se copia asimismo como java.exe a la carpeta de Windows System y crea una llave de inicio para este archivo en el Registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"JavaVM"= "%WindowsDir%\services.exe"

El componente del backdoor es descargado a la carpeta de Windows como services.exe y le añade el Registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"services"= "%WindowsDir%\services.exe"

%WindowsDir% representa el nombre de la carpeta de Windows, por ejemplo C:\Windows e Sistemas Windows XP.

Propagación por Correo

Mydoom.M colecciona direcciones de correo de la libreta de direcciones de Windows, archivos temporales de Internet y por escaneo el disco duro.

Los correos infectados con Mydoom.M envían más a menudo, lo que parece un correo de error de sistema y otros mensajes de advertencia.

Mydoom.M usa los siguientes textos y asuntos para los correos infectados que envía:

Returned mail: Data format error
Returned mail: see transcript to details
Delivery reports about your e-mail
Mail System Error - Returned Mail
Message could not be delivered
Delivery failed
report
test
status
error
hi
hello

El texto en el cuerpo del correo es creado de plantillas con partes que cambian al azar. Por ejemplo:

Dear user yyy@xxx,

Your account was used to send a large amount of junk email during the last weeek.
Most likely your computer had been infected by a recent virus and now contains a hidden proxy server.

Please follow instructions in order to keep your computer safe.

Best wishes,
xxx user support team.

Los archivos adjuntos obtendrán uno de los siguientes nombres con extensiones CMD, BAT, COM, EXE, PIF ó SCR:

message
document
attachment
text
file
letter
mail
Ttanscript
instruction
readme

En algunos casos, cuando el gusano tiene como objetivo un dominio específico, envía un ZIP adjunto que contiene un archivo ejecutable con la siguiente estructura de nombre:

<domain.name.com>.{docltxtlhtmlhtml}<lots of spaces>.{comlexelscrlpif}

Backdoor

Mydoom.M deja un componente a un backdoor que escucha en el puerto 1034/TCP. Por conectarse al puerto del atacante remoto puede hacerse cargo de infectar la computadora.

Detección

El Antivirus F-Secure detecta a Mydoom.M con la actualización del día 26 de Julio del 2004