Worm.W32/Mydoom.BB@MM

Alias:
WORM_MYDOOM.BB (Trend Micro), W32/Mydoom.bb@MM (McAfee), Win32.Mydoom.AU (Computer Associates), W32/Mydoom.AO.worm (Panda Software), Email-Worm.Win32.Mydoom.m (Kaspersky (viruslist.com))

Descripción:
Variante de Mydoom.M de rápida propagación gracias a su propio motor de envío SMTP(Simple Mail Transfer Protocol), que se enviará sobre direcciones contenidas en la Libreta de Direcciones de Windows (WAB Windows Address Book).

También puede propagarse sobre direcciones contenidas en ficheros temporales de internet, así como las existentes en ficheros con determinadas extensiones, aunque intentará evitar aquellas que contengan determinadas cadenas de texto correspondientes a instituciones, fabricantes antivirus y listas Abuse.

Cuando encuentra una dirección, utiliza los siguientes motores de búsqueda para localizar direcciones del mismo dominio.

http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com

Utiliza técnicas de ingeniería social haciéndose pasar por una notificación de la entrega erronea de un mensaje enviado.

También posee capacidades para actuar como puerta trasera, que dejarían la máquina infectada expuesta a posteriorers ataques. Para ello, descarga un fichero que será copiado como SERVICES.EXE en la carpeta de Windows, que cuando es ejeecutado abre el puerto TCP 1034 y espera conexiones externas del atacante, que podrá llegar a tomar el control absoluto de la máquina.

También descarga y ejecuta un troyano de puerta trasera a través del cual, un atacante puede tomar el control de la máquina infectada.

Detalles:
Instalación

Cuando se ejecuta, deja una copia de si mismo con el nombre JAVA.EXE en la carpeta de Windows

Crea la siguiente entrada en el registro con los valores indicados para iniciarse junto al arranque de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run 
JavaVM = "%Windows%\java.exe" 
Services = "%Windows%\services.exe" 

(Nota: %Windows% representa las carpetas C:\Windows o C:\WINNT.)

También crea las siguientes entradas como marca de infección, para evitar que se ejecute de forma concurrente mas de una copia del gusano:

HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon

Intentará cerrar todas las ventanas abiertas que correspondan con alguna de las siguientes aplicaciones:

• Internet Explorer
• Microsoft Outlook
• Outlook Express 

Propagación por correo

Se propaga por correo utilizando su propio motor SMTP (Simple Mail Transfer Protocol) para el envío de mensajes.
Inicialmente comprueba la conexión a internet y trata de conectarse al servidor DNS local. A continuación comprueba que coinciden los nombres de dominio del intercambiador de correo y de la bandeja del usuario, para poder utilizarlo como Servidor SMTP.

Recopila las direcciones de correo que encuentre en la libreta de direcciones de Windows (Windows Address Book. WAB), así como de ficheros existentes en la carpeta de ficheros temporales de internet y de aquellos otros ficheros con las siguientes extensiones:

• hlp
• tx*
• asp
• ht*
• sht*
• adb
• dbx
• wab

De las direcciones encontradas utilizará el dominio para interrogar a los siguientes motores de búsqueda en internet con objeto de localizar nuevas direcciones para propagarse:

* http://search.lycos.com
* http://www.altavista.com
* http://search.yahoo.com
* http://www.google.com 

Los detalles del correo enviado son los siguientes:

Remitente: Estará falsificado tanto en campo remitente como en la cabecera del mensaje:

Asunto: podrá ser alguno de los siguientes:

* The original message was included as attachment
* The/Your m/Message could not be delivered
* hello
* hi error
* status
* test
* report
* delivery failed
* Message could not be delivered
* Mail System Error - Returned Mail
* Delivery reports about your e-mail
* Returned mail: see transcript for details
* Returned mail: Data format error

También puede contener la dirección de correo del destinatario. 

Cuerpo del mensaje: El contenido del mensaje es generado por el gusano, recopilando diversos tipos de cadenas de texto almacenadas en variables de la máquina infectada, cuyo contenido será insertado en zonas concretas del mensaje. La composición se realiza completando los siguientes párrafos:

Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} of $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}

{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.

{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.

{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.

{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},

{$T {user |technical |}support team.|The $T {support |}team.} {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:

Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.

Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Your message {was not|could not be} delivered within $D days:

{{{Mail s|S}erver}|Host} $i is not responding.

The following recipients {did|could} not receive this message: Please reply to postmaster@{$F|$T} if you feel this message to be in error. The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}

El gusano elige uno de los valores entre { }, ej. {did|could} e inserta el contenido de las variables precedidas de $ que previamente ha rellenado con valores capturados del sistema infectado.

Un ejemplo de mensaje, puede ser el siguiente:

Dear user winnt@ mydomain.com, Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The mydomain.com support team.

Adjunto: Será un nombre de fichero con alguna de las siguientes extensiones:

• .ZIP
• .COM
• .SCR
• .EXE
• .PIF
• .BAT

Nota:En allgunos casos, el nombre del fichero adjunto habrá sido capturado de direcciones existentes en las bandejas de correo del usuario infectado. Ejemplos:

• 2k@mydomain.zip
• mydomain.com 

También puede haber casos en los que utilice doble extensión, añadiendo alguna de las siguientes a las descritas antes:

• DOC
• TXT
• HTM
• HTML
• CMD 

Además intentará evitar el envió de mensajes a direcciones que contengan alguna de las siguientes cadenas de texto:

* arin.
* avp
* bar.
* domain
* example
* foo.com
* gmail
* gnu.
* google
* hotmail
* microsoft
* msdn.
* msn.
* panda
* rarsoft
* ripe.
* sarc.
* seclist
* secur
* sf.net
* sophos
* sourceforge
* spersk
* syma
* trend
* update
* uslis
* winrar
* winzip
* yahoo 

También a aquellas con los siguientes nombres:

* anyone
* ca
* feste
* foo
* gold-certs
* help
* info
* me
* no
* nobody
* noone
* not
* nothing
* page
* rating
* root
* site
* soft
* someone
* the.bat
* you
* your 

Así como a aquellos nombre de cuentas que contengan las siguientes cadenas de texto:

* admin
* support
* ntivi
* submit
* listserv
* bugs
* secur
* privacycertific
* accoun
* sample
* master
* abuse
* spam
* mailer-d 

Capacidades de Puerta trasera.

Descarga un componente de puerta trasera en la carpeta de Windows con el nombre SERVICES.EXE, que cuando es ejecutado intentará abrir el puerto TCP 1034, sobre el que esperará la conexión de un atacante externo que podrá tomar el control total sobre la máquina infectada. Además intenta descargar y ejecutar otro troyano desde el sitio web > http://www.aoprocteden.org/site/modules/articles/modulelogo.png que está identificado como Nemog.D o Surila.O

Otros detalles.

EL gusano crea un mutex con un nombre derivado del nombre de la máquina infectada, cuya cadena de texto será repetida varias veces. Ejemplo, si el nombre de la máquina es winxp o patch mutex creado será uno de los siguientes:

winxprootwinxprootwwinxprootwinxprootww 
patchrootpatchrootppatchrootpatchrootpp

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el archivo.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine las siguientes entradas del registro:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run 
   JavaVM = "%Windows%\java.exe" 
   Services = "%Windows%\services.exe" 
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
   HKEY_CURRENT_USER\Software\Microsoft\Daemon
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Symantec
• McAfee
• Panda Software

Fuente: red.es