W32/Mydoom.V. Descarga y ejecuta otros archivosNombre: W32/Mydoom.V
Nombre Nod32: Win32/Mydoom.V
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.V, MyDoom.V, MyDoom.W, I-Worm.Mydoom.t, W32.Mydoom.T@mm
Plataforma: Windows 32-bit
Tamaño: 18,432 (UPX)
Variante del Mydoom detectada el 9 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] es creado con los siguientes nombres y apellidos:
Nombres:
alex
alexander
andrew
anthony
barry
bernard
bill
brian
calvin
carl
charles
christopher
clifford
daniel
david
dennis
donald
douglas
edward
eric
francisco
frank
gary
george
gregory
harold
henry
james
jason
jay
jeffrey
jerry
jim
john
jon
jose
joseph
joshua
kenneth
kevin
larry
leon
leroy
lloyd
marcus
mario
mark
matthew
michael
micheal
miguel
oscar
patrick
paul
peter
randall
raymond
richard
ricky
robert
ronald
ronnie
scott
stephen
steven
theodore
thomas
timothy
tom
tommy
troy
walter
william
Apellidos:
adams
allen
anderson
baker
brown
campbell
carter
clark
cruz
davis
freeman
garcia
gomez
gonzalez
green
hall
harris
hernandez
hill
jackson
johnson
jones
king
lee
lewis
lopez
marshall
martin
martinez
miller
mitchell
moore
murray
nelson
ortiz
parker
perez
phillips
porter
roberts
robinson
rodriguez
scott
simpson
smith
stevens
taylor
thomas
thompson
tucker
turner
walker
webb
wells
white
williams
wilson
wright
young
[Dominio] es el dominio del destinatario, o uno de los siguientes:
@ aol .com
@ dailymail .co .uk
@ gmx .net
@ hotmail .com
@ mail .com
@ msn .com
@ t-online .de
@ yahoo .co .uk
cox .net
yahoo .com
El asunto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- hello
- here
- hi
- Hi!
- important
- Information
- my
- News
- Notice again
- Private document
- Re: Hello
- Re: Hi
- Re: Message
- Re: Proof of concept
- Re: Question
- Re: Status
- Re: Your document
- read it immediately
- Thank you!
- thanks!
- You win!
El texto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- apply patch.
- apply this patch!
- Can you confirm it?
- For further details see the attachment....
- For more details see the attachment.
- fun game!
- fun photos
- fun!
- game
- I have attached document.
- lol!
- Monthly news report.
- New game
- Please answer quickly!
- Please confirm the document.
- Please confirm!
- Please read the attached file!
- Please read the attached file.
- Please read the document.
- Please read the important document.
- Please see the attached file for detail...
- relax
- screensaverlol!
- See attached file for details.
- See the file.
- See the file.
- Thanks!
- Thanks!
- Virus removal tool
- Waiting for a Response. Please read the...
- You are infected by virus. Run this exe...
- Your archive is attached.
- Your requested mail has been attached.
Al texto del mensaje puede agregar al final, el siguiente reporte falso:
+++ Attachment: No Virus found
+++ [nombre antivirus]
Donde [nombre antivirus] es uno de los siguientes:
Bitdefender AntiVirus - www .bitdefender .com
F-Secure AntiVirus - www .f-secure .com
Kaspersky AntiVirus - www .kaspersky .com
MC-Afee AntiVirus - www .mcafee .com
MessageLabs AntiVirus - www .messagelabs .com
Norman AntiVirus - www .norman .com
Norton AntiVirus - www .symantec .de
Panda AntiVirus - www .pandasoftware .com
El archivo adjunto, puede tener alguno de los siguientes nombres:
antivirus.exe
bill.doc .pif
bill.rtf .pif
bill.txt .pif
bill.zip
data.zip
details.zip
doc.doc .pif
doc.rtf .pif
doc.txt .pif
doc.zip
doc.zip
document.doc .pif
document.zip
file.exe
file.zip
fun.scr
game.exe
info.zip
information.zip
letter.zip
lol.scr
mesg.doc .pif
mesg.rtf .pif
mesg.txt .pif
message.zip
Message.html .pif
new.exe
new.zip
patch.exe
photo.exe
pic.exe
rep.txt .pif
report.doc .pif
report.rtf .pif
report.txt .pif
report.zip
review.doc .pif
review.rtf .pif
review.txt .pif
Si el adjunto es un ZIP, el contenido puede tener uno de los nombres anteriores con dos extensiones.
Cuando se ejecuta, crea el siguiente archivo en el sistema infectado:
c:\windows\system32\windrv32.exe
También se copia en la carpeta de inicio del usuario actual, con el siguiente nombre:
[carpeta de inicio]\autostart.exe
Nota: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]\start menu\programs\startup
Para autoejecutarse en cada reinicio, modifica la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSPF = c:\windows\system32\windrv32.exe
El gusano también crea o modifica las siguientes entradas del registro:
HKCU\Software\Microsoft\Internet Explorer
FuckedInst = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\UserAgent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
Al iniciarse, crea el siguiente mutex para no cargarse más de una vez en memoria:
DDDDefaceDDDD
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
.gov
.mil
@foo.
@iana
abuse
accoun
acketst
admin
antivi
anyone
arin.
avp.
berkeley
borlan
bsd
certific
contact
example
feste
fido
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icq.com
icrosof
icrosoft
icrosoft
ietf
info
inpris
isc.o
isi.e
kasp
kernel
linux
linux
linux
listserv
math
messagelabs
mit.e
mozilla
mydomai
news
nobody
nodomai
noone
noreply
nothing
ntivi
panda
pgp
postmaster
privacy
rating
rating
rfc-ed
ripe.
root
root
ruslis
samples
secur
sendmail
service
site
somebody
someone
sopho
spam
submit
support
support
support
syman
tanford.e
unix
unix
unix
upport
usenet
utgers.ed
webmaster
www
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.asp
.cfg
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.vbs
.wab
.xls
También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas.
El gusano descarga y ejecuta otros archivos, de los siguientes dominios:
vugs .geog .uu .nl
www .ach .ch
www .hiw .kuleuven .ac .be
www .llc .unibo .it
www .mercyships .de
www .planetboredom .net
www .surrenderzeeland .nl
El archivo descargado al momento actual es el troyano Surila.NAA:
Troj/Surila.NAA. Troyano de acceso remoto
http://www.vsantivirus.com/troj-surila-naa.htmEl gusano deja de funcionar y se borra a si mismo el 20 de setiembre de 2004, después de las 01:18:31, hora local.
Más información:
http://www.vsantivirus.com/mydoom-v.htmW32/Mydoom.W. Descarga y ejecuta otros archivosNombre: W32/Mydoom.W
Nombre Nod32: Win32/Mydoom.W
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.W, MyDoom.U, I-Worm.Mydoom.s, W32/Mydoom.U.worm, W32/Mydoom.u@MM, W32/Mydoom.V, W32/MyDoom-Gen,
Win32/Mydoom.Variant.Worm, WORM_MYDOOM.GEN
Plataforma: Windows 32-bit
Tamaño: 18,200 (UPX)
Variante del Mydoom detectada el 9 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
(es el mismo que el Mydoom.V)
Más información:
http://www.vsantivirus.com/mydoom-w.htm
W32/Mydoom.X. Descarga y ejecuta otros archivosNombre: W32/Mydoom.X
Nombre Nod32: Win32/Mydoom.X
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.X, I-Worm.Mydoom.t, MyDoom.V
Plataforma: Windows 32-bit
Tamaño: 18,200 (UPX)
(otra variante del Mydoom.v)
Más información:
http://www.vsantivirus.com/mydoom-v.htmTroj/Surila.NAA. Troyano de acceso remotoNombre: Troj/Surila.NAA
Nombre Nod32: Win32/Surila.NAA
Tipo: Caballo de Troya de acceso remoto
Alias: W32/Surila-A, BackDoor-CEB.c, Backdoor.Nemog.B, Backdoor.Win32.Surila.i, Win32.Gavvo.C, Win32/Surila.NAA
Plataforma: Windows 32-bit
Tamaño: 234,496 bytes
Este troyano, programado en Visual C++ y comprimido con la herramienta, puede ser descargado y ejecutado por el gusano Mydoom.V, Mydoom.W y Mydoom.X (nada impide que el troyano sea descargado y ejecutado por otros métodos).
Solo funciona en equipos con Windows NT, 2000, XP o 2003.
Cuando se ejecuta, oculta su actividad en la máquina infectada, mientras se instala como un servidor proxy HTTP, y como un servidor relay de SMTP (permite el reenvío de spam).
Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios, todos ellos pertenecientes a fabricantes de antivirus:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
f-secure .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
Intenta conectarse a numerosos servidores IRC desde donde espera recibir determinados comandos.
Las direcciones IP y los puertos a los que intenta conectarse son los siguientes:
62.241.53.15:4242
62.241.53.16:4242
62.241.53.17:4242
62.241.53.2:4242
62.241.53.4:4242
64.246.16.11:4661
64.246.18.98:4661
64.246.54.12:3306
65.75.161.70:4661
66.111.43.80:4242
66.90.68.2:6565
66.98.144.100:4242
66.98.192.99:3306
67.15.18.45:3306
67.15.18.57:3306
69.50.187.210:4661
69.50.228.50:4646
69.57.132.8:4661
80.64.179.46:4242
81.23.250.167:4242
81.23.250.169:4242
193.19.227.24:4661
205.209.176.220:4661
207.44.142.33:4242
207.44.206.27:4661
207.44.222.47:4661
211.214.161.107:4661
211.233.41.235:4661
212.199.125.36:8080
213.158.119.104:4661
216.127.94.107:4661
218.78.211.62:4661
Utiliza los siguientes puertos para estas conexiones:
3306
4242
4646
4661
6565
8080
Cuando se ejecuta, se copia en la carpeta de inicio del equipo infectado:
[carpeta de inicio]\dx32cxlp.exe
Donde [carpeta de inicio] es tomada del valor asignado a "Common Startup" en la siguiente rama del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders
Esto puede ser una de las siguientes carpetas:
* Windows XP, 2000 (español e inglés)
c:\documents and settings\all users\menú inicio\programas\inicio
c:\documents and settings\all users\start menu\programs\startup
El troyano crea también los siguientes archivos:
c:\windows\system32\dx32cxconf.ini
c:\windows\system32\dx32cxel.sys
c:\windows\system32\dx32cxlp.exe
c:\windows\system32\svkp.sys
El componente DX32CXEL.SYS se instala como un servicio en el equipo de la víctima:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\
HKLM\SYSTEM\CurrentControlSet\Services\dx32cxel\
HKLM\SYSTEM\CurrentControlSet\Services\SVKP\
Cuando este servicio se ejecuta, el mismo no puede ser detectado por un antivirus en un modo de escaneo convencional.
El troyano abre otros puertos TCP al azar.
Más información:
http://www.vsantivirus.com/troj-surila-naa.htmTroj/Small.VA. Deshabilita cortafuegos de Windows XPNombre: Troj/Small.VA
Nombre Nod32: Win32/TrojanDownloader.Small.VA
Tipo: Gusano de Internet
Variantes: Zusha.A, Zusha.B
Alias: Zusha, W32/Zusha, Trojan.Win32.Small.aq, Worm.Win32.Zusha.a, Worm.Win32.Zusha.b, TrojanDownloader.Win32.Agent.co
Plataforma: Windows 32-bit
Tamaño: 1,536 bytes
Se trata de un gusano de redes, capaz de propagarse utilizando un exploit que se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos adicionales de Internet. Estos archivos son a su vez troyano del tipo "downloaders", o sea códigos que descargan otros programas.
Los archivos descargados, pueden eliminar los procesos de diversas aplicaciones de seguridad, incluyendo cortafuegos. También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano (troyanos), puedan comunicarse de y hacia Internet sin el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso remoto por puerta trasera (backdoor), en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea los siguientes archivos:
c:\windows\system32\explorer32.exe
c:\windows\system32\mspxs32.dll
Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Explorer = c:\windows\system32\explorer32.exe
Al ejecutarse, inyecta el archivo MSPXS32.DLL como un objeto BHO del Internet Explorer.
Un objeto BHO (Browser Helper Object), es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados.
Más información:
http://www.vsantivirus.com/troj-small-va.htmW32/Zusha. Deshabilita cortafuegos de Windows XPNombre: W32/Zusha
Nombre Nod32: Win32/TrojanDownloader.Small.VA
Tipo: Gusano de Internet
Variantes: Zusha.A, Zusha.B
Alias: Zusha, Trojan.Win32.Small.aq, Worm.Win32.Zusha.a, Worm.Win32.Zusha.b, TrojanDownloader.Win32.Agent.co, Win32/TrojanDownloader.Small.VA
Plataforma: Windows 32-bit
Tamaño: 1,536 bytes
Ver: Troj/Small.VA. Deshabilita cortafuegos de Windows XP
http://www.vsantivirus.com/troj-small-va.htmMás información:
http://www.vsantivirus.com/zusha.htmW32/Nyxem.E. Borra archivos y entradas del registroNombre: W32/Nyxem.E
Tipo: Gusano de Internet
Alias: Nyxem.E, W32/MyWife.e@MM, W32/Mywife.E.worm, W32.Blackmal.E@mm, WORM_BLUEWORM.F, W32/MyWife.E-mm
Plataforma: Windows 32-bit
Tamaño: 72,874 bytes
Nueva variante del Nyxem (también conocido como BlackWorm o MyWife), detectada el 9 de setiembre de 2004.
Gusano escrito en Visual Basic y comprimido con la utilidad UPX, que se propaga a través de correo electrónico, redes compartidas y canales de IRC (Internet Relay Chat).
Cuando se ejecuta, puede ocasionar el fallo de la computadora, al consumir todo el uso del procesador.
Utiliza el Reproductor de Windows Media (Windows Media Player), para ocultar sus intenciones. Además intenta eliminar conocidos antivirus y cortafuegos, entre otras herramientas de seguridad.
Puede llegar en mensajes con las siguientes características:
Remitente: [falso, puede ser uno de los siguientes]
<admin @ newmovies .com>
<gustes @ msn .com>
<hot_woman2362 @ freevideos .net>
<King_sexy @ hotmal .com>
<linda200 @ gmail .com>
<lost_love705 @ yahoo .com>
<sandra @ oxygen .com>
<thomas_gay6 @ iopus .com>
<user377 @ worldsex .com>
Bad Love
Binnn MT
Lola Ashton
Sara GL
Sweet Women
The Moon
Thomas
[otras direcciones falsas]
Asunto: [uno de los siguientes]
- Please Read
- Hello
- Important
Texto del mensaje: [uno de los siguientes]
Please reactive now.
Thanks
Please reactive now
Thank you
reactive now
For all Members repit the reactive one time.
Datos adjuntos: [uno de los siguientes]
connection.exe
download.3gpzip.z
good music.scr
hhm.exe
media player.exe
movie_05.mp3_________________________.exe
movie009.pif
nokia_6600zip.z
old_password.bat
paltlkroom.wav_______________________.scr
part_4zip [espacios] .z
sound_223.mp3________________________.scr
task.exe
the_members.pif
the_movie_3zip.z
video_live.mpg_______________________.exe
video_live.zip [espacios] .z
winhelp.exe
yahoo.pif
El nombre de los adjuntos puede agregar además lo siguiente:
.DvD_Xp.scr
.Xp2002.TGZ
.XP2002.Zip.scr
_Audio_XP.GZ
_DVD_Viedo.Zip.z
_Zipped_File.Z
El gusano ejecuta el Reproductor de Windows Media, invocando alguno de los siguientes nombres:
mplayer.exe
mplayer2.exe
wmplayer.exe
También crea los siguientes archivos con atributos de sistema, ocultos y solo lectura:
c:\archivos de programa\internet explorer\media player.exe
c:\windows\system32\connection.exe
c:\windows\system32\notepadm.exe
c:\windows\task.exe
c:\windows\volume\taskman.exe
Si no existe, también genera una carpeta llamada VOLUME dentro de C:\WINDOWS.
Crea otros archivos dentro de la carpeta del sistema, con extensiones .BAT, .PIF, .EXE o .SCR. Algunos de los nombres de estos archivos agregan múltiples caracteres "_" antes de la extensión. Ejemplos:
movie_05.MP3_____________.exe
movie009.pif
Old_Password.baT
PaltlkRoom.wav_____________.scr
sound_223.mp3_____________.scr
The_Members.PIF
Video_live.mpg_____________.exe
yahoo.PIF
Copia en el sistema el siguiente archivo DLL, que es el motor SMTP que utiliza para los envíos:
c:\windows\system\ossmtp.dll
Mientras se ejecuta, mantiene dos procesos de si mismo siempre activos. Cuando cualquiera de los dos es eliminado, el otro lo reinicia de inmediato.
Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = [archivo]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[archivo] = [archivo]
HKLM\SOFTWARE\Microsoft\Active Setup
Security = [archivo]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = [archivo]
Donde [archivo] es el nombre de cualquiera de las copias del gusano.
Puede borrar los siguientes valores de las claves que se dan a continuación:
Claves:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Valores borrados:
au.exe
ccApp
defwatch
Explorer
gigabit.exe
KasperskyAv
McAfeeVirusScanService
MCAgentExe
McRegWiz
MCUpdateExe
McVsRte
msgsvr32
NAV Agent
Norton Antivirus AV
NPROTECT
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PCClient.exe
PccPfw
rtvscn95
ScriptBlocking
Sentry
ssate.exe
SSDPSRV
sysinfo.exe
system.
Taskmon
tmproxy
VirusScan Online
VSOCheckTask
Windows Services Host
Winsock2 driver
winupd.exe
También intenta borrar archivos de carpetas que contengan las siguientes cadenas en sus nombres, inutilizando los antivirus y otro software de seguridad allí instalados:
KasperskyAv
McAfee VirusScan
Norton Antivirus
TrendMicro Internet Security
TrendMicro PC-cillin 2002
TrendMicro PC-cillin 2003
El gusano enumera la lista de recursos compartidos que son accesibles, e intenta copiarse en cada uno de ellos con algunos de los nombres de archivos creados antes.
Genera además, los siguientes archivos en la carpeta del sistema:
c:\windows\system\about.txt
c:\windows\system\about_blackworm.c.txt
El segundo de esos archivos contiene el siguiente mensaje:
my MS gay
i got a bill to pay
n i wonder wut to say
but ll i know is wut i know
billy bo! aint got no mo
shyt to do
from this day
GoOd ByE MicroGates
Made byMyLife
El gusano contiene el siguiente texto oculto en su código:
#%MaDe@By@MyLiFe%#:
Más información:
http://www.vsantivirus.com/nyxem-e.htm
