Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Mydoom.N@MM

Alias:
W32.Mydoom.N@mm (Symantec)

Descripción:
Es una variante del gusano Mydoom.M. Se propaga masivamente a través de correo electrónico y además ejecuta un troyano que escucha instrucciones en el puerto TCP 1034.

El gusano usa su propio motor SMTP para enviarse a sí mismo a todas las direcciones de correo que encuentra en el sistema infectado. El asunto, el mensaje y el adjunto del correo en que se envía el gusano son variables, aunque siempre en inglés.

Detalles:
Cuando se ejecuta este gusano realiza las siguientes acciones:

  1. Crea las siguientes entradas en el registro para marcar que el PC ha sido infectado:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
    HKEY_CURRENT_USER\Software\Microsoft\Daemon

  2. Se copia a sí mismo en el directorio de Windows (C:\Windows o C:\Winnt) con el nombre de Java.exe
  3. Añade los siguientes valores:

    "Services" = "%Windir%\services.exe"
    "JavaVM" = "%Windir%\java.exe"

    a alguna de las siguientes claves:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  4. Busca direcciones de correo en el PC infectado en todos los archivos que encuentra con extensiones:

    .adb
    .asp
    .dbx
    .ht*
    .php
    .pl
    .sht
    .tbb
    .tx*
    .wab

  5. Accede a los siguientes buscadores para encontrar direcciones de correo adicionales:

    search.lycos.com
    search.yahoo.com
    www.altavista.com
    www.google.com

Correo electrónico que envía el gusano

El correo tiene las siguientes características:

De: Dirección falsificada.

Asunto: Uno de los siguientes:

  • hello
  • hi
  • error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error

Cuerpo del mensaje:
Es variable, puede contener alguna de las siguientes frases:
  • Dear user {|of },{ {{M|m}ail {system|server} administrator|administration} of would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
    {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
    {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
    {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
    { {user |technical |}support team.|The {support |}team.}
  • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
    Your message {was not|could not be} delivered because the destination {computer|server} was
    {not |un}reachable within the allowed queue period. The amount of time
    a message is queued before it is returned depends on local configuration parameters.
    Most likely there is a network problem that prevented delivery, but
    it is also possible that the computer is turned off, or does not
    have a mail system running right now.
    Your message {was not|could not be} delivered within days:
    {{{Mail s|S}erver}|Host} } is not responding.
    The following recipients {did|could} not receive this message:<>
    Please reply to postmaster@{}
    if you feel this message to be in error.
  • The original message was received at [current time]{
    | }from {]|{]|]}}
    ----- The following addresses had permanent fatal errors -----
    {<>|}
    {----- Transcript of {the ||}session follows -----
    ... while talking to {host |{mail |}server ||||}{.|]}:
    {>>> MAIL F{rom|ROM}:[From address of mail]
    <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <>... {Mail quota exceeded|Message is too
    large}
    554 <>... Service unavailable|550 5.1.2 <>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
    Session aborted{, reason: lost connection|}|>>> RCPT To:<>
    <<< 550 {MAILBOX NOT FOUND|5.1.1 <>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
    {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
    |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
    |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
    |}<<< 400}|}
  • The original message was included as attachment
  • {{The|Your} m|M}essage could not be delivered
Notas:
  • es la dirección de correo de la persona que lo recibe.
  • Es el dominio al que pertenece la dirección de correo del destinatario.
  • El dominio al que pertenece la dirección de correo del remitente del mensaje.
  • Nombre del servidor de correo usado para enviar el correo.
Adjunto:
Es variable, pero podría ser alguno de los siguientes:
  • readme
  • instruction
  • transcript
  • mail
  • letter
  • file
  • text
  • attachment
  • document
  • message

con alguna de las siguientes extensiones:

  • .cmd
  • .bat
  • .com
  • .exe
  • .pif
  • .scr
  • .zip

El adjunto podría tener una segunda extensión, tal como:

  • doc
  • txt
  • htm
  • html

El gusano no se enviará a sí mismo a direcciones que contengan la siguiente cadena:

  • mailer-d
  • spam
  • abuse
  • master
  • sample
  • accou
  • privacycertific
  • bugs
  • listserv
  • submit
  • ntivi
  • support
  • admin
  • page
  • the.bat
  • gold-certs
  • feste
  • not
  • help
  • foo
  • soft
  • site
  • rating
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • info
  • winrar
  • winzip
  • rarsoft
  • sf.net
  • sourceforge
  • ripe.
  • arin.
  • google
  • gnu.
  • gmail
  • seclist
  • secur
  • bar.
  • foo.com
  • trend
  • update
  • uslis
  • domain
  • example
  • sophos
  • yahoo
  • spersk
  • panda
  • hotmail
  • msn.
  • msdn.
  • microsoft
  • sarc.
  • syma
  • avp

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    Borrar manualmente archivos agregados por el virus

    Desde el Explorador de Windows, localice y borre los siguientes archivos:

     

    • c:\windows\system\winxp.exe
    • c:\windows\system\winxp.exeopen
    • c:\windows\system\winxp.exeopenopen
    • c:\windows\system\winxp.exeopenopenopen
    • c:\windows\system\winxp.exeopenopenopenopen

    Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    En las claves del registro:

      

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    borre los valores:

    "Services" = "%Windir%\services.exe"
    "JavaVM" = "%Windir%\java.exe"

    Borre también las siguientes claves:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
    HKEY_CURRENT_USER\Software\Microsoft\Daemon

  5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados