Impide al usuario que acceda a las siguientes páginas
web, redireccionándolas a la
dirección IP 0.0.0.0:
engine.awaps.net, awaps.net, www.awaps.net, ad.doubleclick.net, spd.atdmt.com, atdmt.com, click.atdmt.com, clicks.atdmt.com, media.fastclick.net, fastclick.net, www.fastclick.net, ad.fastclick.net, ads.fastclick.net, banner.fastclick.net, banners.fastclick.net, www.sophos.com, sophos.com, ftp.sophos.com, f-secure.com, www.f-secure.com, ftp.f-secure.com, securityresponse.symantec.com, www.symantec.com, symantec.com, service1.symantec.com, liveupdate.symantec.com, update.symantec.com, updates.symantec.com, support.microsoft.com, downloads.microsoft.com, download.microsoft.com, windowsupdate.microsoft.com, office.microsoft.comMetodo de Infección Mydoom.B crea los siguientes ficheros en el directorio de sistema de Windows:
- EXPLORER.EXE. Este fichero es una copia del gusano. Su icono es muy parecido a un fichero de texto:
- CTFMON.DLL. Este fichero es un backdoor que abre el primer puerto TCP disponible en el rango del 3127 al 3198.
- EMAIL en el directorio temporal de Windows. Este fichero contiene el texto que muestra el Bloc de notas la primera vez que se activa el gusano.
- HOSTS. Si este fichero existe, lo sobrescribe. En ordenadores con Windows Me/98/95, este fichero se encuentra en el directorio de Windows (C:\ WINDOWS por defecto). En ordenadores con Windows 2003/XP/2000/NT, este fichero se encuentra en el subdirectorio DRIVERS\ ETC, del directorio de sistema de Windows.
Creando o sobrescribiendo este fichero, Mydoom.B redirecciona las páginas web descritas en el apartado Efectos a la dirección IP 0.0.0.0, evitando que el usuario pueda acceder a ellas.
Nota: la presencia de este fichero en el ordenador no significa necesariamente que esté afectado por Mydoom.B
Mydoom.B crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Explorer = %sysdir%\ explorer.exe
donde %sysdir% es el directorio de sistema de Windows. En ordenadores con Windows Me/98/95, este directorio es por defecto C:\ WINDOWS\ SYSTEM, mientras que en ordenadores con Windows 2003/XP/2000/NT, es C:\WINNT\ SYSTEM32.
Con esta entrada, Mydoom.B consigue ejecutarse cada vez que se inicia Windows.
Si no consigue crear esta entrada, crea la siguiente:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Explorer = %sysdir%\ explorer.exe
Nota: los sistemas operativos Windows tienen un fichero llamado EXPLORER.EXE en el directorio de Windows (C:\ WINDOWS por defecto). Dicho fichero no está relacionado en modo alguno con Mydoom.B. - HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
(default) = %sysdir%\CTFMON.DLL
Con esta entrada, Mydoom.B lanza el fichero CTFMON.DLL con el Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
Con estas entradas, Mydoom.A comprueba si el ordenador ha sido ya afectado.
Método de Propagación
Mydoom.B se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.
1.- Propagación a través del correo electrónico.
Mydoom.B realiza el siguiente proceso:
- Llega al ordenador afectado en un mensaje de correo de características variables:
Remitente:
Mydoom.B falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Asunto: puede ser uno de los siguientes:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Returned mail
Delivery Error
Unable to deliver the message
Contenido: uno de los siguientes:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains MIME-encoded characters and has been sent as a binaryattachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Fichero adjunto: el nombre del fichero es variable, y tiene extensión aleatoria:
Posibles nombres de fichero: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST, MESSAGE, BODY.
Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP.
Algunas veces, el fichero adjunto tiene doble extensión. En ese caso, la primera extensión siempre será una de las siguientes: HTM, TXT o DOC. - Cuando el fichero es ejecutado, el ordenador quedará afectado.
- Mydoom.B busca direcciones de correo en ficheros que tengan las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.
- Mydoom.B se envía a sí mismo a todas las direcciones que encuentre y a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP.
Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo los siguientes prefijos al dominio de correo del destinatario: gate., mail., mail1., mx., mx1., mxs., ns., relay., smtp.. - Sin embargo, no se envía a las direcciones que presenten las siguientes características:
- El dominio contiene una de las siguientes cadenas de texto: .gov, .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
- El nombre de la dirección es una de las siguientes: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you, your.
- La cuenta de correo contiene alguna de las siguientes cadenas: admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google, accoun.
>2.- Propagación a través de KaZaA.
Mydoom.B realiza el siguiente proceso:
- Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias tienen nombre variable, que consisten en un nombre de archivo y extensión aleatorios:
Posibles nombre de archivo: WINAMP5, ICQ2004-FINAL, NESSUSSCAN.PRO, ATTACKXP-1.26, MS04-01_HOTFIX, ZAPSETUP_40_148, BLACKICE_FIREWALL_ENTERPRISEACTIVATION_CRACK, XSHAREZ_SACANNER.
Posibles extensiones: PIF, SCR, BAT, EXE. - Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.B.
Otros Detalles
Mydoom.B está escrito en lenguaje Ensamblador. El gusano tiene un tamaño de 29184 Bytes, y se encuentra comprimido mediante UPX y PEPatch.
Parte de las cadenas que el gusano emplea están encriptadas con una función de desplazamiento denominada consistente en rotar 13 posiciones hacia la derecha los caracteres.