Mydoom.N Es una variante del gusano Mydoom.M. Se propaga masivamente a través de correo electrónico y además ejecuta un troyano que escucha instrucciones en el puerto TCP 1034.
El gusano usa su propio motor SMTP para enviarse a sí mismo a todas las direcciones de correo que encuentra en el sistema infectado. El asunto, el mensaje y el adjunto del correo en que se envía el gusano son variables, aunque siempre en inglés.
Nombre completo: Worm.W32/Mydoom.N@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño comprimido (bytes): 35328
Alias:W32.Mydoom.N@mm (Symantec)
Detalles
Cuando se ejecuta este gusano realiza las siguientes acciones:
Crea las siguientes entradas en el registro para marcar que el PC ha sido infectado:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon
Se copia a sí mismo en el directorio de Windows (C:\Windows o C:\Winnt) con el nombre de Java.exe
Añade los siguientes valores:
"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"
a alguna de las siguientes claves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Busca direcciones de correo en el PC infectado en todos los archivos que encuentra con extensiones:
.adb
.asp
.dbx
.ht*
.php
.pl
.sht
.tbb
.tx*
.wab
Accede a los siguientes buscadores para encontrar direcciones de correo adicionales:
search.lycos.com
search.yahoo.com
www.altavista.com www.google.com Correo electrónico que envía el gusano
El correo tiene las siguientes características:
De: Dirección falsificada.
Asunto: Uno de los siguientes:
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Cuerpo del mensaje:
Es variable, puede contener alguna de las siguientes frases:
Dear user {|of },{ {{M|m}ail {system|server} administrator|administration} of would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{ {user |technical |}support team.|The {support |}team.}
{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configuration parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message {was not|could not be} delivered within days:
{{{Mail s|S}erver}|Host} } is not responding.
The following recipients {did|could} not receive this message:
<>
Please reply to postmaster@{|}
if you feel this message to be in error.
The original message was received at [current time]{
| }from { ]|{]|]}}
----- The following addresses had permanent fatal errors -----
{<>|}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{.|]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
<<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <>... {Mail quota exceeded|Message is too
large}
554 <>... Service unavailable|550 5.1.2 <>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}<<< 400}|}
The original message was included as attachment
{{The|Your} m|M}essage could not be delivered
Notas:
es la dirección de correo de la persona que lo recibe.
Es el dominio al que pertenece la dirección de correo del destinatario.
El dominio al que pertenece la dirección de correo del remitente del mensaje.
Nombre del servidor de correo usado para enviar el correo.
Adjunto:
Es variable, pero podría ser alguno de los siguientes:
readme
instruction
transcript
mail
letter
file
text
attachment
document
message
con alguna de las siguientes extensiones:
.cmd
.bat
.com
.exe
.pif
.scr
.zip
El adjunto podría tener una segunda extensión, tal como:
doc
txt
htm
html
El gusano no se enviará a sí mismo a direcciones que contengan la siguiente cadena: (Ver lista en el link)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4131W32/Mydoom.S. Se propaga por e-mail, usa buscadoresNombre: W32/Mydoom.S
Tipo: Gusano de Internet
Alias: Mydoom.S, MyDoom.N, Mydoom.O, I-Worm.Mydoom.N, I-Worm.Mydoom.n, W32.Mydoom.N@mm, W32/Mydoom.N.worm, W32/Mydoom.O.worm, W32/Mydoom.o@MM, W32/Mydoom.p@MM, W32/MyDoom-P, Win32/Mydoom.S, WORM_MYDOOM.N
Plataforma: Windows 32-bit
Tamaño: 35,328 bytes (ASPack)
Variante de este gusano escrito en Visual C++ y comprimido con la utilidad ASPack, que se propaga por correo electrónico, utilizando su propio motor SMTP.
Como la variante anterior (Mydoom.R), utiliza los motores de búsqueda para localizar direcciones electrónicas.
Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente (SERVICES.EXE) es idéntico al de la variante identificado por algunos antivirus con alguno de los siguientes nombres:
Back/Zincite.A
Backdoor.Zincite.A
I-Worm.Mydoom.M
I-Worm.Mydoom.m
MyDoom.M
Mydoom.N
Mydoom.R
W32/Mydoom.M.worm
W32/Mydoom.N.worm
W32/Mydoom.o@MM
W32/MyDoom-O
Win32/Mydoom.R
WORM_MYDOOM.M
Zincite.A
Más información sobre este troyano:
Back/Zincite.A. Servidor de puerta trasera
http://www.vsantivirus.com/back-zincite-a.htmPuede llegar en un mensaje con las siguientes características:
De: [dirección falsificada]
La dirección puede ser tomada de archivos del sistema, o construida de la siguiente forma:
mailer-daemon@[dominio destinatario]
noreply@[dominio destinatario]
Como nombre, puede usarse uno de los siguientes:
Automatic Email Delivery Software
Bounced mail
Mail Administrator
Mail Delivery Subsystem
MAILER-DAEMON
Post Office
Returned mail
The Post Office
Asunto: [uno de los siguientes]
- click me baby, one more time
- delivery failed
- Delivery reports about your e-mail
- error
- hello
- hi error
- Mail System Error - Returned Mail
- Message could not be delivered
- report
- Returned mail: Data format error
- Returned mail: see transcript for details
- say helo to my litl friend
- status
- test
- The message could not be delivered
- The Message could not be delivered
- The original message was included as attachment
- Your message could not be delivered
- Your Message could not be delivered
Texto del mensaje:
El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano. Los siguientes son solo ejemplos que pueden variar en la construcción de algunas frases y la selección de diferentes palabras:
Ejemplo 1:
Dear user of [dominio],
We have received reports that your account was used to
send a large amount of unsolicited e-mail messages
during the last week.
Obviously, your computer had been compromised by a
recent virus and now contains a trojaned proxy server.
We recommend you to follow our instructions in the
attachment file in order to keep your computer safe.
Have a nice day,
[dominio] support team.
Ejemplo 2:
The message was undeliverable due to the following
reasons:
Your message could not be delivered because the
destination server was unreachable within the allowed
queue period. The amount of time a message is queued
before it is returned depends on local configura-tion
parameters. Most likely there is a network problem that
prevented delivery, but it is also possible that the
computer is turned off, or does not have a mail system
running right now.
Ejemplo 3:
Your message could not be delivered within [número al
azar] days:
Host [servidor] is not responding.
The following recipients could not receive this
message:
<[dirección]>
Please reply to postmaster@[dominio] if you feel this
message to be in error.
The original message was received at [hora] from
[dominio]
----- The following addresses had permanent fatal
errors -----
<[dirección]>
----- Transcript of session follows -----
... while talking to host [dominio]:
>>> MAIL From:[dirección]
<<< 50$d Refused unknown 554 <[dirección]>... Mail
quota exceeded
554 <[dirección]>... Service unavailable
Session aborted, reason: lost connection
<<< 550 MAILBOX NOT FOUND User unknown
The original message was included as attachment
Ejemplo 4:
Your message could not be delivered
Datos adjuntos: [nombre]+[extensión]
Donde [extensión] es una de las siguientes:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras:
attachment
document
file
instruction
letter
mail
message
readme
text
transcript
Ejemplos: Si la dirección es "
[email protected]" el adjunto puede ser alguno de los siguientes:
[email protected]hotmail.com
maria.scr
También podría ser alguno de los siguientes:
attachment.exe
letter.scr
transcript.com
Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios.
Cuando se ejecuta el gusano, se crean los siguientes archivos:
c:\windows\java.exe
c:\windows\services.exe
El segundo, es el troyano "Zincite.A" mencionado antes.
El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
JavaVM = c:\windows\java.exe
Services = c:\windows\services.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
JavaVM = c:\windows\java.exe
Services = c:\windows\services.exe
HKCU\Software\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon
Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado:
.adb
.asp
.dbx
.ht*
.ph*
.pl*
.sht*
.tbb
.tx*
.wab
Esto incluye las bases de mensajes del Outlook y la libreta de direcciones.
Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones.
El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso:
www.google.com (lo usa un 45% de las veces)
search.lycos.com (lo usa un 22.5%)
search.yahoo.com (lo usa un 20%)
www.altavista.com (lo usa un 12.5%)
El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre: (Ver lista en el link)
Intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos:
userprofile
yahoo.com
Más información:
http://www.vsantivirus.com/mydoom-s.htmVBS/Inor.AY. Se propaga en un archivo .HTANombre: VBS/Inor.AY
Tipo: Caballo de Troya
Alias: Trojan.Download.Inor.C, VBS/TrojanDropper.Inor.AY, VBS/Inor
Plataforma: Windows 32-bit
Tamaño: 4,164 bytes
Este troyano se propaga como un archivo .HTA, descargado de un sitio Web o a través de un mensaje electrónico enviado en forma de spam.
Se vale de varias vulnerabilidades del Internet Explorer para ejecutarse.
Cuando se ejecuta, el troyano permanece en memoria e intenta conectarse a un determinado sitio para descargar un archivo llamado SVCHOST.EXE. El nombre del archivo puede variar.
Si logra descargarlo, libera el siguiente archivo y lo ejecuta:
c:\i.exe
Ese nombre también puede variar.
Luego, mueve SVCHOST.EXE (el archivo descargado antes) a la carpeta de Windows y también lo ejecuta.
Los archivos descargados son otros troyanos, y sus características y los posibles daños causados, varían en cada caso.
Más información:
http://www.vsantivirus.com/inor-ay.htmTroj/Mitglieder.AS. Envía spam desde el PC infectadoNombre: Troj/Mitglieder.AS
Tipo: Caballo de Troya
Alias: Mitglieder.AS, Win32/TrojanProxy.Mitglieder.AS, Win32.Mitglieder.BA, W32/Bagle.dll.gen, Win32/Mitglieder.BA.DLL.Trojan, TrojanProxy.Win32.Mitglieder.as
Plataforma: Windows 32-bit
Tamaño: 167,936 bytes (UPX)
Puertos: TCP al azar (superior al 2000)
Este troyano ha sido reportado por usuarios infectados con el gusano Bagle. Dicho gusano puede descargar y ejecutar a este troyano luego de una infección.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\realupd.exe
c:\windows\system\realupd32.exe
c:\windows\system\real32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Genera las siguientes entradas en el registro, la primera de ellas para que cada vez que se ejecute un programa con extensión .EXE, el troyano se instale en memoria:
HKCR\exefile\shell\open\command
(Predeterminado) = c:\windows\system\realupd.exe -run %s
HKCU\SOFTWARE\DateTime
Uid = [número de proceso]
Port = [puerto usado]
frun = [1 o 0]
Cuando se ejecuta REAL32.EXE, su código se inyecta en el proceso del EXPLORER (EXPLORER.EXE), quedando oculto en la lista de procesos en ejecución. El hilo del proceso creado, llama al resto de sus funciones, implementadas en el archivo REALUPD32.EXE, un DLL renombrado.
El DLL también es cargado con el parámetro "-run".
Este hilo del proceso puede continuar ejecutándose hasta el próximo reinicio de Windows. Para no cargarse más de una vez en memoria, crea el siguiente mutex (semáforo indicador):
imain_mutex
Abre un puerto TCP al azar (mayor del 2000), en las máquinas infectadas. El puerto es usado como servidor proxy (Socks 4), para retransmitir el tráfico recibido desde Internet.
Se conecta a diferentes sitios de Alemania y Rusia, e intenta funcionar como repetidor de correo electrónico para el envío de spam.
El puerto abierto funciona también como una puerta trasera (backdoor), permitiendo al atacante, acceder a la máquina infectada. Por allí, el troyano puede recibir comandos para realizar diferentes acciones, como cargar y ejecutar otro archivo en el equipo. De este modo también puede actualizarse a si mismo, agregando nuevas funciones.
Cada vez que se ejecuta, el troyano se contacta con los siguientes sitios enviando información a un script CGI sobre el equipo infectado (tipo de conexión, sistema operativo, puerto, hora local, etc.):
http:/ /69 .28 .141 .195
http:/ /www .ftopserkj .com
http:/ /www .gtreport .biz
Más información:
http://www.vsantivirus.com/troj-mitglieder-as.htm
