W32/Mydoom.Y. Descarga y ejecuta otros archivosNombre: W32/Mydoom.Y
Nombre Nod32: Win32/Mydoom.Y
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.Y, I-Worm.Mydoom.p, I-Worm.Mydoom.v, Mydoom.X, W32.Mydoom.gen@mm, W32/Mydoom.r@MM, W32/Mydoom.X.worm, W32/Mydoom.X@mm, Win32.Mydoom.X, Win32/Mydoom.Variant.Worm
Plataforma: Windows 32-bit
Tamaño: 18,432 (UPX)
Variante del Mydoom detectada el 10 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] es creado con los siguientes nombres y apellidos:
Nombres:
Alex
Alexander
Andrew
Anthony
Barry
Bernard
Bill
Brian
Calvin
Carl
Charles
Christopher
Clifford
Daniel
David
Dennis
Donald
Douglas
Edward
Eric
Francisco
Frank
Gary
George
Gregory
Harold
Henry
James
Jason
Jay
Jeffrey
Jerry
Jim
John
Jon
Jose
Joseph
Joshua
Kenneth
Kevin
Larry
Leon
Leroy
Lloyd
Marcus
Mario
Mark
Matthew
Michael
Micheal
Miguel
Oscar
Patrick
Paul
Peter
Randall
Raymond
Richard
Ricky
Robert
Ronald
Ronnie
Scott
Stephen
Steven
Theodore
Thomas
Timothy
Tom
Tommy
Troy
Walter
William
Apellidos:
Adams
Allen
Anderson
Baker
Brown
Campbell
Carter
Clark
Cruz
Davis
Freeman
Garcia
Gomez
Gonzalez
Green
Hall
Harris
Hernandez
Hill
Jackson
Johnson
Jones
King
Lee
Lewis
Lopez
Marshall
Martin
Martinez
Miller
Mitchell
Moore
Murray
Nelson
Ortiz
Parker
Perez
Phillips
Porter
Roberts
Robinson
Rodriguez
Scott
Simpson
Smith
Stevens
Taylor
Thomas
Thompson
Tucker
Turner
Walker
Webb
Wells
White
Williams
Wilson
Wright
Young
[Dominio] es el dominio del destinatario, o uno de los siguientes:
@ aol .com
@ cox .net
@ dailymail .co .uk
@ gmx .net
@ hotmail .com
@ mail .com
@ msn .com
@ t-online .de
@ yahoo .co .uk
@ yahoo .com
El asunto del mensaje puede ser alguno de los siguientes:
- FW: (no subject)
- FW: 2 new photos
- FW: hello sweety :>
- FW: hi
- FW: hi, it's me
- FW: it's me
- FW: jenna's photos
- FW: my photos
- FW: new photos
- FW: remember me?..
- FW: that's me
El texto del mensaje puede ser alguno de los siguientes:
-----Original Message-----
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus
check my new photos
)
miss you, jeny k
-----Original Message-----
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
Check Out Archive.. So.. What Do You Think... Am I Hot?
Waining For Your Answer
Jena Key
-----Original Message-----
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos(archived) you asked
jenny k
-----Original Message-----
From: jenna k. (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: Cat
my new fotos archived ))
kiss, jenna k
-----Original Message-----
From: Jeny
Sent: Tuesday, September 7, 2004 8:57 PM
To: Neo
see the photos in attached archive
)
kiss you, jeny
-----Original Message-----
From: Jena
Sent: Tuesday, September 7, 2004 5:23 AM
To: friend
Photos in archive.. So.. Am I Hot?
Waining For Your Answer
Jena
-----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
To: Friends Group
in self-extracting archive my photos
Jenna
-----Original Message-----
From: jenna (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: ma kittie
my photos archived ))
kiss, jenna
-----Original Message-----
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus
check out the new photos
)
miss you, jeny k
-----Original Message-----
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
So.. What Do You Think... Am I Hot?
Waining For Your Answer
Jena Key
-----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
in archive my new fotos
Jenna K
-----Original Message-----
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos you asked
jenny k
-----Original Message-----
From: jenna k. (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: Cat
my new fotos zipped ))
kiss, jenna k
-----Original Message-----
From: Jeny
Sent: Tuesday, September 7, 2004 8:57 PM
To: Neo
see the photos
)
kiss you, jeny
-----Original Message-----
From: Jena
Sent: Tuesday, September 7, 2004 5:23 AM
To: friend
So.. Am I Hot?
Waining For Your Answer
Jena
-----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
To: Friends Group
in archive my photos
Jenna
-----Original Message-----
From: jenny
Sent: Tuesday, September 7, 2004 10:23 AM
To: Mr.X (e-mail)
photos you asked
jenny
-----Original Message-----
From: jenna (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: ma kittie
my photos zipped ))
kiss, jenna
Al texto del mensaje puede agregar al final, el siguiente reporte falso:
+++ Attachment: No Virus found
+++ [nombre antivirus]
Donde [nombre antivirus] es uno de los siguientes:
Bitdefender AntiVirus - www .bitdefender .com
F-Secure AntiVirus - www .f-secure .com
Kaspersky AntiVirus - www .kaspersky .com
MC-Afee AntiVirus - www .mcafee .com
MessageLabs AntiVirus - www .messagelabs .com
Norman AntiVirus - www .norman .com
Norton AntiVirus - www .symantec .de
Panda AntiVirus - www .pandasoftware .com
El archivo adjunto, puede tener alguno de los siguientes nombres:
2004042301.jpg .pif
arc.exe.safe
foto.exe
fotos.exe
fotos.zip
images.zip
julia038.jpg .pif
marie_dancing.jpg .pif
me_01.jpg .pif
my_foto.exe
my_photos.exe
my_photos.zip
myfoto.exe
myfoto.exe.safe
myphotos.zip
myphotos_arc.exe
new_photos.exe
new_photos.zip
newphotos.exe
nude_.jpg .pif
photo_se.exe
photo08.jpg .pif
photoarchive.exe
photofile.exe.safe
photos.exe.safe
photos.selfextracting.exe.safe
photos.zip
photos_arc.exe
sunny.jpg .pif
with_flowers.jpg .pif
Si el adjunto es un ZIP, el contenido puede tener uno de los nombres anteriores con dos extensiones.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\win32s.exe
c:\windows\system\kill.bat
También se copia en la carpeta de inicio del usuario actual, con el siguiente nombre:
[carpeta de inicio]\autorun.exe
Nota: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32System = c:\windows\system\win32s.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32System = c:\windows\system\win32s.exe
El gusano también crea la siguiente entrada del registro:
HKCU\Software\Microsoft\Internet Explorer\ShushaGung
Al iniciarse, crea el siguiente mutex para no cargarse más de una vez en memoria:
LLLf54fxrDLLL
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
.gov
.mil
@foo.
@iana
abuse
accoun
acketst
admin
antivi
anyone
arin.
avp.
berkeley
borlan
bsd
certific
contact
example
feste
fido
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icq.com
icrosof
icrosoft
icrosoft
ietf
info
inpris
isc.o
isi.e
kasp
kernel
linux
linux
linux
listserv
math
messagelabs
mit.e
mozilla
mydomai
news
nobody
nodomai
noone
noreply
nothing
ntivi
panda
pgp
postmaster
privacy
rating
rating
rfc-ed
ripe.
root
root
ruslis
samples
secur
sendmail
service
site
somebody
someone
sopho
spam
submit
support
support
support
syman
tanford.e
unix
unix
unix
upport
usenet
utgers.ed
webmaster
www
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.asp
.cfg
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mbx
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.wab
.xls
También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas.
El gusano descarga y ejecuta otros archivos, de los siguientes dominios:
64 .40 .98 .94
69 .93 .58 .116
www .il-legno .it
www .masteratwork .com
www .mercyships .de
www .professionals-active .com
El archivo descargado al momento actual es el troyano Surila.NAA:
Troj/Surila.NAA. Troyano de acceso remoto
http://www.vsantivirus.com/troj-surila-naa.htmEl gusano deja de funcionar y se borra a si mismo el 17 de setiembre de 2004, después de las 01:18:31, hora local.
Más información:
http://www.vsantivirus.com/mydoom-y.htmW32/Gaobot.NNT. Se copia como "fsdqd.exe"Nombre: W32/Gaobot.NNT
Nombre Nod32: Win32/Agobot.NNT
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.NNT, Agobot.NNT, Win32/Agobot.NNT, W32.Gaobot.BIQ, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80, TCP/65475
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\fsdqd.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
dasxdads = "fsdqd.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
dasxdads = "fsdqd.exe"
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Más información:
http://www.vsantivirus.com/gaobot-nnt.htm
