M i c r o a s i s t .

Más reportes sobre la versión MyDoom.BB

Nombre: MyDoom.BB
Alias: MyDoom.M, Email-Worm.Win32.Mydoom.m,
W32/Mydoom.bb@MM
W32/MyDoom-O, W32.Mydoom.AX@mm, Mydoom.AU,
WORM_MYDOOM.BB

Resumen

El 17 de Febrero aparece una nueva versión de MyDoom.BB, la cual es muy parecida a las versiones anteriores, su función principal es enviar correo infectado con diferentes asuntos y contenido. Esta versión ha sido reportada continuamente en diferentes partes del mundo.

Descripción detallada

El cuerpo del gusano es un ejecutable de Windows PE el cual esta comprimido con MEW.

Instalación en el sistema

Cuando se ejecuta, el gusano se autocopia al directorio de Windows como "java.exe". dejando un archivo llamado "services.exe" y lo ejecuta, este es el componente de backdoor que escucha el puerto 1034

El gusano instala las siguientes llamadas del registro para asegurarse de ser ejecutado la próxima vez que el sistema inicie.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"JavaVM" = "%WinDir%\java.exe"
Mydoom agrega las siguientes llaves
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
or
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinDir%\services.exe"

Si no existen, el gusano también crea las siguientes llaves

[HKLM\Software\Microsoft\Daemon]

Posteriormente el gusano crea un mutex llamado

%hostname%root

El gusano intenta esconder su proceso utilizando Win32 RegisterServiceProcess.

Diseminación en correo electrónico

EL gusano se disemina enviando su anexo infectado a todas las direcciones de correo que encuentra en la computadora infectada. El gusano busca por las direcciones en la libreta de direcciones de Windows y en los archivos con las siguientes extensiones:

pl.
ph.
tx.
ht.
asp
sht
adb
dbx
wab

También buscara direcciones haciendo rastreos en los siguientes motores de búsqueda.

search.lycos.com
www.altavista.com
search.yahoo.com
www.google.com

EL gusano evita enviar correo a las direcciones que contengan alguna de las siguientes subcadenas de texto:
mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
feste
help
soft
site
rating
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma

El gusano utiliza un algoritmo mas sofisticado para reconocer direcciones de correo, Ahora puede obtener direcciones como:

peter@nospam.domain.com
peter-at-domain-dot-com
peter at domain dot com
peter[at]domain[dot]com

Estas direcciones son traducidas por el gusano a un formato útil para el correo electrónico.

MyDoom se disemina a través de mensajes de correo electrónico. El mensaje que se envía esta compuesto por asuntos y contenidos obtenidos de manera aleatoria.

El tema del asunto puede ser cualquiera de los siguientes:

hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
El cuerpo del mensaje puede contener cualquiera de lo siguientes líneas:
{{The|Your} m|M}essage could not be delivered
The original message was included as attachment
The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}
----- The following addresses had permanent fatal errors -----
{<$t>|$t}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{$T.|$i}:
{>>> MAIL F{rom|ROM}:$f
<<< 50$d {$f... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blac
klisted}}|554 <$t>... {Mail quota exceeded|Message is too large}
554 <$t>... Service unavailable|550 5.1.2 <$t>... Host unknown (Name server: hos
t not found)|554 {5.0.0 |}Service unavailable; [$i] blocked using {relays.osirus
oft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<$t>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <$t>... {User unknown|Invalid recipient|Not kno
wn here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}<<< 400}|}
{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|
server} was {not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message {was not|could not be} delivered within $D days:
{{{Mail s|S}erver}|Host} $i is not responding.
The following recipients {did|could} not receive this message:
<$t>
Please reply to postmaster@{$F|$T}
if you feel this message to be in error.
Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} o
f $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|
:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {ha
s been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|ju
nk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was}
{compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{e
d|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in t
he {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{$T {user |technical |}support team.|The $T {support |}team.}

Las palabras que se encuentran entre corchetes {} proveen alguna cambio en el cuerpo del mensaje, por ejemplo, uno de los mensajes puede verse como sigue:

The message was not delivered due to the following reason:

Your message could not be delivered because the destination computer was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message could not be delivered within 30 days:
Host mail.testnet is not responding.
The following recipients did not receive this message:
johndoe@testnet
Please reply to postmaster@testnet
if you feel this message to be in error.

El nombre del anexo esta compuesto por uno de los siguientes nombres:

readme
instruction
transcript
mail
letter
file
text
attachment
document
con una de las siguientes extensiones
scr
pif
exe
com
bat
cmd
Código Dañino

Cuando se corre el archivo del gusano. Intenta descargarse y ejecuta archivos adicionales antes de ejecutar el componente principal. Este archivo es un backdoor detectado como 'Backdoor.Win32.Surila.o'

El gusano también deja un componente de backdoor que escucha el puerto 1034/TCP Cuando el creador del virus escucha el puerto, puede subir o ejecutar archivos de manera arbitraria y obtener una lista de las computadoras que han sido infectadas.

Mydoom.BB tambien intenta abrir objetos de Windows y detener el proceso de Outlook e Internet Explorer. Esto lo hace mandando los siguientes mensajes a Windows WM_QUIT, WM_CLOSE y WM_DESTROY a los principales objetos del Windows de estas aplicaciones.

F-Secure detecta esta nueva versión desde el 17 de Febrero del 2005, recuerde mantener actualizado su antivirus.