Worm-Backdoor.W32/Mydoom.O@MM

Alias:
W32/Mydoom.O.worm (Panda Software), W32/Mydoom.p@MM (McAfee), Win32.Mydoom.P (Computer Associates)

Descripción:
Mydoom.O es un gusano que instala un archivo que actúa como puerta trasera, abriendo el puerto TCP 1034 y permaneciendo a la escucha. De este modo, permite el acceso remoto al ordenador afectado para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.

Mydoom.O se propaga a través del correo electrónico en un mensaje escrito en inglés con características variables.

Detalles:
Efectos

Puerta trasera en el puerto TCP 1034 y permaneciendo a la escucha. De este modo, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.

Busca y cierra las ventanas que posean alguno de los siguientes nombres:

• rctrl_renwnd32
• ATH_Note
• IEFrame

Metodo de Infección

Mydoom.O crea los siguientes archivos:

• JAVA.EXE en el directorio de Windows. Este archivo es una copia del gusano.
• SERVICES.EXE en el directorio de Windows. Este archivo es una copia del backdoor.
• ZINCITE.LOG y un archivo con nombre aleatorio y extensión LOG en el directorio temporal de Windows. Estos archivos son creados por Mydoom.O como ayuda para afectar el ordenador.

Mydoom.O crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
JavaVM = %windir%\ java.exe

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Services = %windir%\ Services.exe

Mediante estas entradas, Mydoom.O consigue ejecutarse cada vez que se inicia Windows.

Si no consigue crear las anteriores entradas, en su lugar intentará crear estas otras:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
JavaVM = %windir%\ java.exe

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Services = %windir%\ Services.exe

Adicionalmente, también crea las siguientes entradas:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Daemon
HKEY_CURRENT_USER\ Software\ Microsoft\ Daemon 

Método de Propagación

Mydoom.O se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:

• Remitente: Mydoom.O falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones.
  Mydoom.O puede añadir cualquiera de los siguientes textos a la dirección falsificada del remitente:
  
  
  • "Automatic Email Delivery Software"
  • "Bounced mail"
  • "Mail Delivery Subsystem"
  • "MAILER-DAEMON"
  • "Post Office"
  • "Returned mail"
  • "The Post Office"
  • "Mail Administrator"
  • "Postmaster"
  • MAILER-DAEMON
  • noreply

   

• Asunto: puede ser uno de los siguientes:
  
  
  • [en blanco]
  • test
  • hi
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • delivery failed
  • Delivery reports about your e-mail
  • error
  • hello
  • report
  • Returned Mail: see transcript for details
  • status

   

• Contenido: puede estar en blanco, ser un conjunto ilegible de caracteres o uno de los siguientes:
  
  
  • Mensaje 1:

    The original message was received at 
    from
    
    ----- The following addresses had permanent fatal errors -----
    [dirección página web]

     

  • Mensaje 2:

    The original message was received at 
    from
    
    ----- The following addresses had permanent fatal errors -----
    [dirección correo electrónico]
    
    ----- Transcript of session follows -----
    while talking to [servidor].:
    MAIL From: [dirección correo electrónico]
    501 [dirección correo electrónico]... Refused

     

  • Mensaje 3:

    This Message was undeliverable due to the following reason:
    
    Your message was not delivered because the destination computer was
    not reachable within the allowed queue period. The amount of time
    a message is queued before it is returned depends on local configura-
    tion parameters.
    
    Most likely there is a network problem that prevented delivery, but
    it is also possible that the computer is turned off, or does not
    have a mail system running right now.
    
    Your message was not delivered within 7 days:
    Host [dirección IP] is not responding.
    
    The following recipients did not receive this message:
    [dirección correo electrónico]
    
    Please reply to [dirección correo electrónico]
    if you feel this message to be in error.

     

  • Mensaje 4:

    Message could not be delivered

   

• Archivo adjunto: es variable:

  Posibles nombres de archivo: puede ser completamente aleatorio, o ser alguno de los siguientes: ATTACHMENT, DOCUMENT, FILE, INSTRUCTION, LETTER, MAIL, MESSAGE, README, TEXT, TRANSCRIPT.

  Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP, COM.

  El archivo adjunto puede llegar dentro de un archivo con extensión ZIP, que algunas veces puede estar doblemente comprimido. En ocasiones, el archivo adjunto que contiene el gusano llega dañado. Cuando el archivo es ejecutado, el ordenador quedará afectado.

Mydoom.O busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT y WAB.

Mydoom.O se envía a todas las direcciones que encuentre, utilizando su propio motor SMTP. Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo una serie de prefijos al dominio de correo del destinatario. Sin embargo, Mydoom.O evita enviarse a direcciones que cumplan alguna de las siguientes características:

• El dominio de la dirección contiene alguna de estas cadenas: .gov, .mil, arin., avp, bar., domain, example, foo., gmail, gnu., google, gov., hotmail, labs, math, mcrosoft, msn., ophos, panda, rarsoft, ripe., sarc., seclist, secure, sf.net, sourceforge, spersk, syma, update, uslis y winzip.
• El nombre de destinatario es alguno de los siguientes: anyone, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, rating, root, samples, service, site, soft, someone, the.bat, you y your.
• El nombre de destinatario contiene alguna de las siguientes cadenas: abus, accoun, admi, bug, contact, crosoft, listserv, master, ntivi, privacycertific, sample, secure, spam, submit y suppor.

Otros Detalles

Mydoom.O está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño variable, que oscila entre 8192 y 28800 Bytes cuando está comprimido mediante Aspack, mientras que ocupa entre 10240 y 40448 Bytes una vez descomprimido.

Mydoom.O crea un mutex para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.

Este gusano crea numerosos hilos de ejecución, pudiendo llegar a causar un error de acceso a página inválida. Por su parte, el componente backdoor crea tres hilos de ejecución, y se registra como un servicio de Windows, para no aparecer en el Administrador de tareas.

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine los siguientes valores:

   JavaVM = %windir%\ java.exe

   Services = %windir%\ Services.exe

   de la siguiente clave del registro:

   HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

   HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Panda Software
• McAfee
• Computer Associates

Fuente: red.es