VSantivirus No. 1323 Año 8, viernes 20 de febrero de 2004
W32/Mydoom.F. Ataca a Microsoft y a la RIAA
http://www.vsantivirus.com/mydoom-f.htm
Nombre: W32/Mydoom.F
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.F, W32.Novarg.F, Win32/Mydoom.F, W32/Mydoom.f@MM, Win32.Mydoom.F, WORM_MYDOOM.F, W32/MyDoom-F
Plataforma: Windows 32-bit
Puertos: TCP/1080, TCP/3000 (al 5000)
Tamaño: 34,568 bytes
Fecha: 19/feb/04
Variante del Mydoom.A, que se propaga por correo electrónico y unidades de red compartidas. Fue detectado en las últimas horas del 19 de febrero de 2004. Está preparado para realizar ataques de denegación de servicio al sitio de Microsoft, y al de la RIAA. También finaliza algunos programas
antivirus y es capaz de borrar archivos.
Usa mensajes con asuntos, textos y nombres de archivos adjuntos variables. El mensaje suele medir de 30 a 35 Kb.
Cuando se ejecuta, muestra una ventana de error falsa, entre las siguientes posibles:
Error
File is corrupted
[ OK ]
Error
Unable to open specified file
[ OK ]
Error
File cannot be opened
[ OK ]
Realiza ataques de denegación de servicio a las direcciones www.microsoft.com y www.riaa.com.
El mensaje puede tener alguno de los siguientes remitentes:
Una dirección tomada al azar
Una dirección generada al azar
Solo caracteres al azar
Vacía
Asunto, cualquiera de los siguientes:
[en blanco]
=P Announcement
Accident
Announcement
Approved
ApprovedNews
Attention
automatic notification
automatic responder
bug
Confirmation
Confirmation Required
Current Status
Details
Expired account
EXPIRED ACCOUNT
fake
For you
For your information
forget
hello
hi
hi, it's me
Important
IMPORTANT
Information
Information Warning
Love is
Love is Love is...
Love is...
news
Notification
please read
Please read
please reply
Please reply
Re:
Re: Approved
Re: Details
Re: Thank you
Read it immediately
Read it immediately!
read now!
Read this
Read this message
Readme
recent news
Recent news
Registration confirmation
Returned Mail
Schedule
Something for you
stolen
Subject lines
test
Thank you
Thank You very very much
Undeliverable message
unknown
Unknown
Wanted
Warning
You have 1 day left
You use illegal File Sharing...
You use illegal File Sharing... Your IP was logged
Your account has expired
Your account is about to be expired
Your credit card
Your IP was logged
Your order is being processed
Your order was registered
Your request is being processed
Your request was registered
Los archivos adjuntos, pueden tener alguno de los siguientes nombres:
[caracteres al azar]
about
approved
attachment
bill
body
check
creditcard
data
details
disc
doc
document
file
friend
image
info
information
joke
jokes
list
mail
mail2
me
message
misc
money
msg
note
notes
object
part1
part2
part3
part4
paypal
photo
post
posting
product
ps
readme
resume
site
story
stuff
test
text
textfile
vpf
website
your_document
Las posibles extensiones para los adjuntos:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Los archivos .ZIP contienen la versión con el mismo nombre y una de las extensiones anteriores (excepto .ZIP).
El texto del mensaje puede ser alguno de los siguientes, entre otros generados al azar:
Check the attached document.
Details are in the attached document. You need Microsoft Office to open it.
Everything ok?
Greetings
Here is the document.
Here it is
I have your password :)
I wait for your reply.
I'm waiting
I'm waiting Okay
Information about you
Is that from you?
Is that yours?
Kill the writer of this document!
OK
OK Everything ok?
Okay
Please see the attached file for details
Please, reply
Read the details.
Reply
See the attached file for details
See you
See you Here it is
Something about you
Take it
test
The document was sent in compressed format.
We have received this document from your e-mail.
We have received this document from your email
You are a bad writer
You are bad
El icono del adjunto, representa un archivo de texto, con la idea de engañar al usuario:
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\[nombre al azar].exe
c:\windows\system\[nombre al azar].dll
Ejemplos:
c:\windows\system\hiruszomrk.exe
c:\windows\system\vppu.dll
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
Para autoejecutarse en cada reinicio, modifica la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = [nombre del gusano]
Ejemplo:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nhch = c:\windows\system\hiruszomrk.exe
Cuando se ejecuta, abre un troyano de acceso por puerta trasera en las computadoras infectadas, y queda a la escucha por el puerto TCP/1080. Para ello ejecuta el archivo DLL creado en el directorio SYSTEM de WINDOWS, como un proceso hijo (child process) de EXPLORER.EXE. Un Child Process es un proceso originado por un proceso padre con el que comparte recursos. También abre los puertos TCP/3000 al 5000.
El gusano enumera los procesos que se están ejecutando, e intenta finalizar aquellos que tengan las siguientes cadenas en sus nombres:
avp.
avp32
intrena
mcafe
navapw
navw3
norton
reged
taskmg
taskmo
También crea copias de si mismo con extensión .ZIP o .EXE, en todos los directorios de las unidades de disco locales y mapeadas en red. Los nombres de los archivos son seleccionados al azar.
El gusano busca en todos los discos locales y borra el 40% de todos los archivos con las siguientes extensiones:
.avi
.bmp
.doc
.jpg
.mdb
.sav
.xls
Los contactos a los que se envía, son tomados de archivos con las siguientes extensiones, que el gusano examina en todos los discos duros locales, además de la libreta de direcciones:
.adb
.asp
.dbx
.eml
.hp
.htm
.mbx
.mht
.mmf
.msg
.nch
.ods
.oft
.pl
.rtf
.sht
.tbb
.txt
.uin
.vbs
.wab
El gusano utiliza su propio motor SMTP para propagarse.
Evita enviarse a direcciones que contengan los siguientes textos en su nombre:
.gov
.mil
acketst
arin.
avp
berkeley
borlan
bsd
essagela
example
fido
foo.
fsf.
gnu mit.e
google
gov.
hot
iana
ibm.com
icrosof
ietf
inpris
irix
isc.o
isi.e
kernel
linux
mail msn.
math
mozilla
mydoma
nai.co
nodoma
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sgi.com
slashdot
solaris
sopho
sourcef
sun.com
suppo
syma
tanford.e
unix
usenet
utgers.ed
El gusano también puede agregar direcciones con los siguientes nombres y cualquier dominio de las direcciones extraídas antes:
alex
billsmith
james
jerry
jim
john
sam
Nota: un administrador puede reducir significativamente la entrada de correo infectado a su servidor, si coloca filtros a las direcciones formadas con esa lista de nombres y su propio dominio (siempre que no existan usuarios con alguno de esos nombres en su servidor). Ejemplos:
alex@dominio.com REJECT
jim@dominio.com REJECT
etc...
Del 1 de febrero de 2004 al 14 de febrero de 2006, el gusano intenta ataques de denegación de servicio (DoS), alternativamente a uno u otro de los siguientes sitios:
www.microsoft.com
www.riaa.com
Estos ataques consisten en el envío de ráfagas de solicitudes GET HTTP.
Luego del 14 de febrero de 2006, el gusano finaliza su rutina de ataque, y deja de propagarse, pero su acceso
backdoor, continuará abierto.
Herramientas de limpieza automática
Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32) (290 Kb)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=MydoomF
McAfee AVERT Stinger (734 Kb) (inglés)
http://download.nai.com/products/mcafee-avert/stinger.exe
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\[nombre al azar].exe
c:\windows\system\[nombre al azar].dll
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre al azar] = [nombre del gusano]
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
5. Pinche en la carpeta "InProcServer32" y cambie lo siguiente:
(Predeterminado) = [nombre del archivo DLL del gusano]
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
21/feb/04 - Alias: WORM_MYDOOM.F, W32/MyDoom-F
21/feb/04 - Modificaciones y ampliación de la descripción
25/feb/04 - Herramientas de limpieza automática
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|