VSantivirus No. 1520 Año 8, sábado 4 de setiembre de 2004
W32/Mydoom.U. Abre el bloc de notas y muestra basura
http://www.vsantivirus.com/mydoom-u.htm
Nombre: W32/Mydoom.U
Nombre Nod32: Win32/Mydoom.U
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.U, W32/Mydoom.t.dll, WORM_MYDOOM.T, W32/Mydoom.t@MM, Win32/Mydoom.U,
I-Worm.Mydoom.r, I-Worm.Mydoom.ren, MyDoom.T, W32.Mydoom.R@mm
Plataforma: Windows 32-bit
Puerto: TCP/5422
Tamaño: 37,888 bytes (EXE), 8,192 bytes (DLL) (UPX)
Fecha: 3/set/04
Variante del Mydoom detectado el 3 de setiembre de 2004.
Se propaga por correo electrónico y redes P2P (KaZaa).
Cuando se ejecuta, abre el bloc de notas y muestra caracteres sin sentido.
El ejecutable muestra el icono de los archivos de WordPad.
Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] puede ser uno de los siguientes:
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
[Dominio] es el dominio del destinatario.
El asunto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- Document
- document
- Error
- HELLO
- hello
- Hi
- hi
- Information
- Mail Delivery System
- MAIL TRANSACTION FAILED
- Mail Transaction Failed
- Mali Delivery System
- message
- my ....
- RE:my .....
- RE:Test
- RE:test
- readme
- Server Report
- Status
- Test
- TEST
- test
El texto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- !!!!!!!!!!!, check the attachment!!!.
- (Norton Anti Virus : No Virusses Found , Check The
Attachment For More Information.
- (Norton ANti Virus,Panda,Mcafee No Virusses Found).
- Check the attachment for more information!.
- check the attachment to get the lastest news.
- check.
- come back my friend.
- error , sorry we can"t send the email so check the
attachment.
- error to send the mail!!!!!.
- error, check the attachment for more information.
- failed to send the email!, check the attachment for
more information.
- failed,check the attachment for more information.
- hello :)
- hello check the attachment thx.
- hello.
- here is what you need,thx.
- loooooool ;)))
- Mail transaction failed. Partial message is
available.
- sorry we can"t send the mail try later , check the
attachment for more information.
- the attachment for more information.
- Try Later, Check the Attachment.
- you can check the attachment for more information.
- your attachment , thx.
El archivo adjunto, puede tener alguno de los siguientes nombres:
body.???
data.???
doc.???
document.???
file.???
message.???
readme.???
test.???
text.???
Donde "???" es alguna de las siguientes extensiones:
.bat
.com
.exe
.scr
.zip
Si el adjunto es un ZIP, el contenido puede tener uno de los nombres anteriores con dos extensiones. La primera puede ser una de las siguientes:
.doc
.htm
.tmp
.txt
La segunda (después de numerosos espacios), puede ser una de las siguientes:
.bat
.com
.exe
.scr
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
\TEMP\Message
c:\windows\system32\tasker.exe
c:\windows\system32\nemog.dll
NOTA 1: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
NOTA 2: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
Para autoejecutarse en cada reinicio, modifica la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Task = c:\windows\system32\tasker.exe
El gusano abre una puerta trasera ejecutando el archivo .DLL como un proceso hijo (child process) de EXPLORER.EXE, en el primer reinicio de la computadora infectada. Para ello crea esta entrada en el registro:
HKEY_CLASSES_ROOT\CLSID
\{E6FB5E20-DE35-11CF- 9C87-00AA005127ED}\InProcServer32
(Predeterminado) = c:\windows\system32\nemog.dll
En ocasiones podría crear también esta entrada:
HKEY_CLASSES_ROOT\CLSID
\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InProcServer32
(Predeterminado) = c:\windows\system\shimgapi.dll
Un Child Process es un proceso originado por un proceso padre con el que comparte recursos.
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
-._!@
abuse
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
bugs
ca
certific
contact
example
feste
gold-certs
google
help
ibm.com
icrosof
icrosoft
info
inpris
isc.o
isi.e
kernel
linux
listserv
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
you
your
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.wab
También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas.
El gusano abre el puerto TCP/5422 utilizando su componente DLL, para actuar como un servidor proxy, además de descargar y ejecutar otros archivos.
El gusano utiliza su propio motor SMTP (Simple Mail Tansfer Protocol) para el envío de los mensajes.
Para determinar el servidor SMTP a usar, agrega un prefijo de varios posibles, al dominio obtenido de la dirección de correo:
gate.[dominio]
mail.[dominio]
mail1.[dominio]
msx.[dominio]
mx.[dominio]
mx1.[dominio]
ns.[dominio]
relay.[dominio]
smtp.[dominio]
Si falla, se conecta a un servidor SMTP local incorporado al gusano.
También busca la carpeta compartida de la utilidad P2P KaZaa, y si la encuentra, se copia en ella con los siguientes nombres:
cleaner.???
crack.???
Fixtool.???
Hotmail hacker.???
mydoom.???
netsky.???
ps2 emulator.???
SoBig.???
Upload.???
Vahos.???
Viraus.???
Wenrar.???
Winzip.???
xbox emulator.???
XXX Pictures.???
XXX Videos.???
yahoo hacker.???
Donde "???" es una de las siguientes extensiones:
.bat
.com
.exe
.scr
El código del gusano contiene el siguiente texto, no mostrado al usuario:
MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will complete my projects ok baby!,the second author for mydoom worms!!, he will complete the project, more is coming soon better than better,Kuwait.
El gusano también realiza ataques distribuidos de denegación de servicio (DDoS) al sitio de Microsoft.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Task = c:\windows\system32\tasker.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{35CEC8A3-2BE6-11D2-8773-92E220524153}
\InProcServer32
5. Pinche en la carpeta "InProcServer32" y cambie lo siguiente:
(Predeterminado) = c:\windows\system32\nemog.dll
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{35CEC8A3-2BE6-11D2-8773-92E220524153}
\InProcServer32
7. Pinche en la carpeta "InProcServer32" y cambie lo siguiente:
(Predeterminado) = c:\windows\system32\nemog.dll
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
04/09/04 - 11:31 -0300 (Alias: I-Worm.Mydoom.r)
04/09/04 - 11:31 -0300 (Alias: I-Worm.Mydoom.ren)
04/09/04 - 11:31 -0300 (Alias: MyDoom.T)
04/09/04 - 11:31 -0300 (Alias: W32.Mydoom.R@mm)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|