Mydoom.S
se disemina por spam
Nombre: Mydoom.S
Alias: W32/Mydoom.S@MM, I-Worm.Mydoom.q, W32.Mydoom.Q@mm
Resumen
El día de hoy, 16 de Agosto ha sido enviado por spam
(correo masivo) una nueva variante del gusano Mydoom, el cual
envía un mensaje con el asunto de photos y con el archivo
photos_arc.exe, el cual se recibe con los siguientes datos:
De: dirección de correo aleatoria
Para: dirección de correo aleatoria
Asunto: photos
LOL!;))))
Attachment: photos_arc.exe
Las direcciones de los spams aparecen como pools de DSL y cable
módems, lo que sugiere que los creadores de MyDoom están
usando una red creada con versiones anteriores de Mydoom para
enviarse. También se verifico que ningún antivirus
pudiera detectar esta nueva versión. Actualmente F-Secure
detecta esta versión como Mydoom.S.
Así también si usted es administrador de su red,
le sugerimos bloquear el acceso a los dominios www.richcolour.com
y zenandjuice.com. Esta variante intenta bajar componentes desde
estas direcciones (a pesar de que estos sitios no tienen nada
que ver con el grupo creador del virus.) Si usted requiere tener
acceso a estos sitios, le sugerimos que los desactive temporalmente
y posteriormente permita el acceso a los mismos.
Descripción detallada
El
archivo del gusano es un ejecutable de 27136 bytes empaquetado
con UPX. Una vez desempaquetado el gusano mide 53 KB.
Infección
del sistema:
El gusano
intentará descargar un ejecutable desde cuatro diferentes
URLSs, mismos que se direccionan a los siguientes sitios: www.richcolour.com
y zenandjuice.com.
Mido
sé autocopia como "winpsd.exe" al directorio
de sistema de Windows y genera la siguiente llave de inicio
en el registro de Windows:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winpsd.exe" = "%WinSysDir%\winlibs.exe"
Donde
%WinSysDir% representa la carpeta de sistema de Windows. Como
resultado, el gusano se inicia cada vez que lo hace Windows.
Envío
en correo
El gusano
se envía a través de correos electrónicos,
pero antes recolecta las direcciones de correo de la computadora
que ha sido infectada. El gusano lee la libreta de direcciones
de Windows, los archivos temporales de Internet y la carpeta
de sistema de Windows. Verifica los archivos con las siguientes
extensiones:
txt
htm
sht
php
asp
dbx
tbb
adb
pl
wab
El
gusano no sé auto envía si las direcciones que
encontró contienen alguna de las siguientes cadenas de
letras:
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
abuse
upport
www
spm
spam
www
secur
El
gusano intenta engañar al destinatario enviando los siguientes
nombres como remitente:
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra
El gusano altera el archivo host de la computadora infectada
para evitar que el usuario local y las aplicaciones puedan tener
acceso a los sitios web de las diferentes marcas antivirus.
F-Secure
detecta y elimina este gusano con las firmas del 16 de Agosto,
si usted quiere verificar que su maquina este libre de virus,
puede hacerlo a través del scanner en línea que
se encuentran en f-secure.com
