PDA

View Full Version : MyDoom viruses info


A.A.O
03-02-04, 06:44
I´ve founded here (http://www.hacksoft.com.pe/) how to recognize this virus, it sayes:

-W32/Mydoom.B@MM:

Descripción

W32/MyDoom.B@MM es un gusano que se propaga vía E-mail en un adjunto con extensión .BAT, .CMD, .EXE, .PIF, .SCR o .ZIP.
Características del mensaje de E-mail:

De: Dirección de E-mail falsa

Asunto: {Al azar entre: }

- Mail Transaction Failed
- Mail Delivery System
- hi
- hello
- Server Report
- Status
- Returned mail
- Delivery Error

Cuerpo: {Al azar entre: }

- sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
- The message contains MIME-encoded graphics and has been sent as a binary attachment.

Archivo Adjunto:

El nombre puede ser:
- {caracteres al azar}
- document
- readme
- doc
- text
- file
- data
- test
- message
- body
- hello

La extensión puede ser .cmd, .exe, .pif, .scr o .zip
-------------------------------

Activación:

Si se abre el archivo adjunto el gusano:

- Se copia como "EXPLORER.EXE" y "CTFMON.DLL" en la carpeta %System%
- Crea el archivo "MESSAGE" en la carpeta %temp% con caracteres al azar y abre este archivo con el bloc de notas

Crea las siguientes entradas en el registro para ejecutar el gusano en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\Curren tVersion\Run
"Explorer"="%System%/Explorer.exe"

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
"Explorer"="%System%/Explorer.exe"

Propagación en Kazaa:

Se copia en la carpeta del Kazaa que se utiliza para compartir archivos como:

- winamp5
- icq2004-final
- xsharez_scanner
- BlackIce_Firewall_Enterpriseactivation_crack
- zapSetup_40_148
- MS04-01_hotfix
- attackXP-1.26
- NessusScan_pro

La extensión puede ser .pif, , .exe, .scr o .bat

Módulo Backdoor o Puerta trasera:

El gusano actúa como un backdoor a través del archivo "CTFMON.DLL", esperando comandos de su autor.

Para que el archivo .DLL trabaje se pega al proceso Explorer.exe y crea la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
{Predeterminado} = "%System%\ctfmon.dll"

Daño causado:

El 1 de Febrero lanzará un ataque de denegación de servicio (DOS) contra www.sco.com (http://www.sco.com) y el 3 Febrero contra www.microsoft.com; (http://www.microsoft.com;) esto va a ocurrir hasta el 01 de Marzo del 2004.

Detección y Eliminación:

Detección y eliminación de este gusano está disponible en The Hacker 5.6 registro v00076 emitido el 28/01/2003, 12:43

Nota:
- %temp% representa la carpeta temporal de Windows (Ej: c:\windows\temp)
- %System% representa la carpeta System dentro de Windows (Ej: C:\Windows\system, \Winnt, \Windows\System32)

-W32/Mydoom@MM:

Descripción

W32/MyDoom@MM es un gusano de 22 Kb que se propaga vía E-mail en un adjunto con extensión CMD, EXE, PIF, SCR o ZIP.
Características del mensaje de E-mail:

De: Dirección de E-mail falsa

Asunto: {Al azar entre: }

- Mail Transaction Failed
- Mail Delivery System
- hi
- Error
- Server Report
- Status
- hello

Cuerpo: {Al azar entre: }

- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Archivo Adjunto:

El nombre puede ser:
- {caracteres al azar}
- document
- readme
- doc
- text
- file
- data
- test
- message
- body

La extensión puede ser .cmd, .exe, .pif, .scr o .zip
-------------------------------

Activación:

Si se abre el archivo adjunto el gusano:

- Se copia como "TASKMON.EXE" y "SHIMGAPI.DLL" en la carpeta %System%
- Crea el archivo "MESSAGE" en la carpeta %temp% con caracteres al azar y abre este archivo con el bloc de notas

Crea las siguientes entradas en el registro para ejecutar el gusano en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\Curren tVersion\Run
"taskmon"="%System%/Taskmon"

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
"taskmon"="%System%/Taskmon"

Propagación en Kazaa:

Se copia en la carpeta del Kazaa que se utiliza para compartir archivos como:

- winamp5
- icq2004-final
- activation_crack
- strip-girl-2.0bdcom_patches
- rootkitXP
- office_crack
- nuke2004

La extensión puede ser .pif, .scr o .bat

Módulo Backdoor o Puerta trasera:

El gusano actúa como un backdoor a través del archivo "SHIMGAPI.DLL", escucha en el puerto 3127 esperando comandos de su autor.

Para que el archivo .DLL trabaje se pega al proceso Explorer.exe y crea la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
{Predeterminado} = "%System%\shimgapi.dll"

Daño causado:

Se activa entre el 1 y 12 de Febrero lanzado un ataque de denegación de servicio (DOS) al dominio sco.com

Detección y Eliminación:

Detección y eliminación de este gusano está disponible en The Hacker 5.6 registro v00072 emitido el 26/01/2003, 18:06

Nota:
- %temp% representa la carpeta temporal de Windows (Ej: c:\windows\temp)
- %System% representa la carpeta System dentro de Windows (Ej: C:\Windows\system, \Winnt, \Windows\System32)

-W32/Mimail.Q@MM:

Descripción:

W32/Mimail.Q@MM, es un gusano que se transmite vía e-mail. Se envía a si mismo a todas las direcciones de e-mail que encuentre en el sistema, utiliza su propio motor SMTP para enviarse vía E-mail. Visualiza una falsa ventana de notificación de expiración de Windows, de esta manera intenta engañar al usuario a que ingrese información personal. Además intentará robar información del usuario relacionado con el sitio e-gold.com.

Características del Mensaje de Email:

Asunto: [cualquiera de los siguientes]

smart photos PRIVATE
Hi my sweet Nancy ...
sexy picture FOR YOU ONLY
Good evening my darling Margaret
Cuerpo: [variable]

Archivo Adjunto: [variable, puede tener cualquiera de las siguientes extensiones]

.SCR
.EXE
.PIF
.JPG.SCR
.JPG.PIF
.JPG.EXE
.GIF.EXE
.GIF.PIF
.GIF.SCR
--------------------------------

Cuando el gusano se ejecuta visualiza un falso mensaje de error:

Windows

ERROR: Bad CRC32

[ OK ]



Seguidamente realiza dos copia polimorfica de sí mismo dentro de:

%windows%\sys32.exe

%windows%\outlook.exe



Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
"system"="%windows%\outlook.exe"

También modifica la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer
"Explorer"="1"

"Explorer2"="1"

"Explorer3"="1"

"Explorer4"="1"

"Explorer5"="1"



Seguidamente el gusano visualiza una falsa ventana de Notificación de Expiración de Windows, toda la información que sea ingresada en el formulario es guardada en:

C:\Mminfo2.txt
C:\Mminfo.txt
Para que pueda visualizar el mensaje, el gusano crea los siguientes archivos en:



C:\logo.jpg
C:\logobig.gif
C:\Mshome.hta
C:\Wind.gif
Inmediatamente el gusano busca en la carpeta COOKIES archivos que contengan el dominio e-gold.com, si los encuentra este guardará temporalmente la información de la cuenta e-gold dentro de los archivos:

C:\Tmpgld.txt
C:\Tmpeg2.txt
El gusano colecciona direcciones e-mail de todos los archivos del disco duro, excepto de los archivos que tengan las siguientes extensiones COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG, BMP. Todas las direcciones encontradas son guardadas dentro del archivo Outlook.cfg.

Finalmente el gusano verifica si los puertos TCP 80, 1434 y 1433 están abiertos en el computador, esta información es guardada dentro del archivo Serv.txt, seguidamente enviará toda la información capturada a una dirección de e-mail anónima en mail15.com.

Abre los puertos 3000 y 6667 en el computador atacado de esta manera permite el acceso remoto y no autorizado del atacante.