adam
alex
alice
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

y [dominio] uno de los siguientes (entre otros):

aol.com
hotmail.com
msn.com
yahoo.com

Asunto: [alguno de los siguientes]

- [caracteres al azar]
- [vacío]
- Confirmation
- CONFIRMATION
- funny photos :)
- hello
- Hello!
- hello!
- Hey!
- HEY!
- hey!
- Hi!
- HI!

Texto del mensaje:

Ejemplo 1:

Congratulations! PayPal has successfully charged $175
to your credit card. Your order tracking number is
A866DEC0, and your item will be shipped within three
business days.
To see details please click this link.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is
being sent by an automated message system and the reply
will not be received.

Thank you for using PayPal.

Ejemplo 2:

Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.

See my homepage with my weblog and last webcam photos!

See you!

Ejemplo 3:

Hi! I am looking for new friends. I am from Miami, FL.
You can see my homepage with my last webcam photos!
Hello!

Ejemplo 4:

FREE ADULT VIDEO! SIGN UP NOW!

Ejemplo 5:

Look at my homepage with my last webcam photos!

Los mensajes contienen un enlace al equipo infectado que envía el mensaje.

Las propiedades del mensaje, pueden contener alguno de los siguientes campos:

X-AntiVirus: scanned for viruses by AMaViS 0.2.1
(http:/ /amavis .org/)

X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)

X-AntiVirus: Checked for viruses by Gordano's AntiVirus
Software

Los sistemas infectados mostrarán al Internet Explorer escuchando por el puerto TCP 1639 o 1640, el puerto donde se ejecuta el servidor Web.

Si el usuario sigue el enlace enviado por el gusano, es conectado con un servidor Web la computadora infectada:

http://[dirección IP]:[puerto]/[página]

Donde [dirección IP] es la IP actual de la máquina que envió el mensaje, [puerto] es el puerto usado (por ejemplo 1639 o 1640), y página el nombre de un documento HTML, por ejemplo INDEX.HTM, WEBCAM.HTM, etc.

Esa página es la que contiene el código para provocar el desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una consola de comandos (shell), que instruye a la máquina local a descargar un archivo remoto:

http://[dirección IP]:[puerto]/[archivo a descargar]

El [archivo a descargar], (generalmente REACTOR, sin extensión), es almacenado en el escritorio del usuario con el nombre de VV.DAT y luego ejecutado.

Cuando se ejecuta, el gusano crea un archivo en la carpeta System de Windows:

c:\windows\system32\??????32.exe

Donde los "????" son caracteres al azar.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También se crean las siguientes entradas en el registro, las primeras para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\WINDOWS\System32\??????32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\WINDOWS\System32\??????32.exe

Donde [nombre] puede ser alguno de los siguientes:

center
reactor
Rhino
Reactor?

El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.

También se pueden crear las siguientes entradas:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version

Cuando el archivo "??????32.exe" es ejecutado, se ejecuta un servidor en el equipo infectado, y se envían los mensajes antes descriptos, conteniendo el enlace a dicho equipo.

El gusano contiene una lista de servidores IRC, a los que intenta conectarse a través del puerto TCP 6667:

broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org

Posee un componente de acceso remoto a través de una puerta trasera, capaz de recibir instrucciones de un atacante desde los canales de IRC a los que se conecta.

El gusano obtiene direcciones a las que enviarse, de archivos de la máquina infectada con las siguientes extensiones:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

Evita enviarse a direcciones que contengan cualquiera de las siguientes cadenas en sus nombres:

.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

El gusano intenta además borrar las entradas en el registro de versiones anteriores del propio gusano.

Funciona hasta el 16 de diciembre de 2004. Después de esa fecha, al ser ejecutado no realiza ninguna acción.

Los usuarios con Windows XP SP2 no son afectados por la vulnerabilidad que permite la ejecución de este gusano.


Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\ComExplore

3. Haga clic en la carpeta "ComExplore" y bórrela.

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con alguno de los siguientes nombres:

center
reactor
Rhino
Reactor?

El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\ComExplore

7. Haga clic en la carpeta "ComExplore" y bórrela.

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con alguno de los siguientes nombres:

center
reactor
Rhino
Reactor?

El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Publicado anteriormente:

VSantivirus No. 1586 Año 8, martes 9 de noviembre de 2004


Actualizaciones:

09/11/04 - 12:44 -0200 (Nod32: Win32/Mydoom.AE)
09/11/04 - 12:44 -0200 (Alias: Win32/Mydoom.AE)
11/11/04 - 04:34 -0300 (Cambio de nombre W32/Mydoom.AD)
11/11/04 - 04:34 -0200 (Nod32: Win32/Mydoom.AD)
11/11/04 - 04:35 -0300 (Actualización descripción y alias)
06/12/04 - 20:00 -0200 (Actualización de alias)
06/12/04 - 20:25 -0200 (Actualización de alias)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com