Worm-Backdoor.W32/Mydoom.M@MM

Alias:
WORM_MYDOOM.M (Trend Micro), W32/MyDoom-O (Sophos), Win32.MyDoom.M (Bit Defender), W32/Mydoom.o@MM (McAfee), W32.Mydoom.M@mm (Symantec), Win32.Mydoom.O (Computer Associates), I-Worm.Mydoom.m (Kaspersky (viruslist.com)), W32/Mydoom.N.worm (Panda Software)

Descripción:
Gusano con un componente de puerta trasera que se difunde mediante correo electrónico. Utilza mensajes de correo electrónico con elaborados trucos de "ingeniería social" para incitar al usuario a ejecutar el adjunto. Estos mensajes, escritos en inglés, pretenden pasar por mensajes que informan de problemas técnicos al usuario, como imposibilidad de entregar un mensaje o que su PC está enviando spam.

Detalles:
Instalación

El gusano se copia con el nombre Java.exe en la carpeta de Windows.
Crea otro fichero llamado services.exe, el componente de puerta trasera, en la carpeta de Windows y en la carpeta temporal de Windows. Este componente es Backdoor.W32/Zincite.

Crea los siguientes valores en el registro:

JavaVM="%Windows%\java.exe" 
Services=“%Windows%\services.exe" 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ 
CurrentVersion\Run

Crea una entrada llamada "ID" en la siguiente clave del registro como marcador de infección:

HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon

Difusión por correo electrónico

El gusano se difunde por correo usando comandos SMTP (Simple Mail Transfer Protocol). Primero comprueba la existencia de conexión con Internet y luego se conecta con un servidor de correo.

Recolecta direcciones de correo electrónico de la libreta de direcciones de Windows (WAB), cuando encuentra una dirección, extrae la parte correspondiente al dominio y usa los siguientes motores de búsqueda para confirmar su existencia:

• http://search.lycos.com
• http://www.altavista.com
• http://search.yahoo.com
• http://www.google.com

Suplanta el nombre del remitente del mensaje, tanto en la cabecera como en el envoltorio. El mensaje tiene, además, las siguientes características:

• Asunto: Uno de los siguientes.
  
  
  • The original message was included as attachment
  • The/Your m/Message could not be delivered
  • hello
  • hi error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error

  También puede contener la dirección de correo electrónico del destinatario.
  
  

• Cuerpo del mensaje:. El gusano genera el cuerpo usando cadenas recogidas del sistema del usuario. Elije aleatoriamente entre las siguientes cadenas para formar el mensaje:
  
  
  • Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} of $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
  • {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
  • {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
  • {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
  • {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
  • {$T {user |technical |}support team.|The $T {support |}team.} {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
  • Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.
  • Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
  • Your message {was not|could not be} delivered within $D days:
  • {{{Mail s|S}erver}|Host} $i is not responding.
  • The following recipients {did|could} not receive this message: <$t> Please reply to postmaster@{$F|$T} if you feel this message to be in error. The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}

  Un posible mensaje resultante es el siguiente:

  Dear user winnt@ mydomain.com,
  Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week.
  Most likely your computer had been infected by a recent virus and now runs a hidden proxy server.
  Please follow our instruction in the attached file in order to keep your computer safe.
  Virtually yours,
  The mydomain.com support team.
  
  

• Adjunto: Utiliza nombres aleatorios, con extensiones:
  
  
  • .zip
  • .com
  • .scr
  • .exe
  • .pif
  • .bat

En ocasiones, el nombre base es una cadena obtenida de la dirección a la que se envía el gusano. También puede utilzar nombre con doble extensión, anteponiendo las siguientes a las listadas anteriormente:

• Doc
• txt
• htm
• html
• cmd

El gusano evita direcciones de correo cuyo dominio contenga alguna de las siguientes cadenas:

• arin.
• avp
• bar.
• domain
• example
• foo.com
• gmail
• gnu.
• google
• hotmail
• microsoft
• msdn.
• msn.
• panda
• rarsoft
• ripe.
• sarc.
• seclist
• secur
• sf.net
• sophos
• sourceforge
• spersk
• syma
• trend
• update
• uslis
• winrar
• winzip
• yahoo

• anyone
• ca
• feste
• foo
• gold-certs
• help
• info
• me
• no
• nobody
• noone
• not
• nothing
• page
• rating
• root
• site
• soft
• someone
• the.bat
• you
• your

• admin
• support
• ntivi
• submit
• listserv
• bugs
• secur
• privacycertific
• accoun
• sample
• master
• abuse
• spam
• mailer-d

Otros detalles

El gusano crea un fichero de registro llamado Zincite.log en la carpeta temporal de Windows.
También crea un mutex con un nombre derivado del nombre del sistema donde se ejecuta, añadiendo la cadena root y repitiendo la combinación de cadenas varias veces.

Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

   Borrar manualmente archivos agregados por el virus

   Desde el Explorador de Windows, localice y borre los siguientes archivos:

    

   • c:\windows\system\winxp.exe
   • c:\windows\system\winxp.exeopen
   • c:\windows\system\winxp.exeopenopen
   • c:\windows\system\winxp.exeopenopenopen
   • c:\windows\system\winxp.exeopenopenopenopen

   Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
   
   

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine los siguientes valores:

   JavaVM="%Windows%\java.exe"

   Services=“%Windows%\services.exe"

   bajo la siguiente clave:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ 
   CurrentVersion\Run 
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

También puede utilizar las herramientas específicas de reparación ofrecidas por varios fabricantes de antivirus:

• Trend Micro
• Panda Software
• Bit Defender
• Symantec
• McAfee

Más Información sobre este virus en:

• Trend Micro
• Sophos
• Bit Defender
• McAfee
• Symantec
• Computer Associates
• Kaspersky (viruslist.com)
• Panda Software

Fuente: red.es