Mydoom.R
PeligrosidadDañoPropagación

Efectos 

Mydoom.R realiza las siguientes acciones:

• Abre varios puertos y permanece a la escucha. Esto permite a un usuario atacante acceder remotamente al ordenador afectado, con el fin de realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
• Descarga y ejecuta el backdoor detectado por Panda Security como Bck/Surila.B.
• Evita que el usuario pueda acceder a las páginas web de determinadas compañías antivirus, redireccionándolas a la dirección IP 127.0.0.1.

Metodo de Infección 

Mydoom.R crea los siguientes archivos:

• RASOR38A.DLL en el directorio de Windows y WINPSD.EXE en el directorio de sistema de Windows. Estos archivos, con un tamaño de 27136 Bytes, son una copia del gusano.
• DX32HHLP.EXE, tanto en el directorio de sistema de Windows como en el directorio Inicio. Este archivo es una copia del backdoor Surila.B, y tiene un tamaño de 136 KBytes.
• DX32HLLP.SYS en el directorio de sistema de Windows. Este archivo tiene un tamaño de 4 KBytes.

Mydoom.R modifica el archivo HOSTS, de modo que páginas web pertenecientes a determinadas compañías antivirus no puedan ser accedidas.

Mydoom.R crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  winpsd = %sysdir%\ winpsd.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Mydoom.R consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version

Mydoom.R realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo electrónico que tiene un archivo adjunto.
• Cuando el archivo adjunto es ejecutado, Mydoom.R descarga el backdoor Surila.B desde alguno de los siguientes sitios web:
  http://www.richcolour<bloqueado>ispy.1.jpg
  http://www.richcolour<bloqueado>coco3.jpg
  http://www.richcolour<bloqueado>temp587.gif
  http://zenandjuice.com<bloqueado>temp728.gif
• Aunque el archivo descargado parece ser un archivo gráfico, en realidad se trata de un archivo ejecutable, que modifica el archivo HOSTS y crea DX32HLLP.SYS.
• Mydoom.R crea el mutex 43jfds93872 para asegurarse de que no haya más de una copia de sí mismo ejecutándose al mismo tiempo.

Método de Propagación 

Mydoom.R se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje escrito en inglés con las siguientes características:
  
  Remitente:
  Mydoom.R falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  Mydoom.R utiliza alguno de los siguientes nombres como remitente:
  adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, claudia, dan, dave, david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam, sandra, serg, smith, stan, steve, ted y tom.
  
  Asunto:
  photos
  
  Contenido:
  LOL!;))))
  
  Archivo adjunto:
  PHOTOS_ARC.EXE
• El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
• Mydoom.R busca direcciones de correo en archivos con las siguientes extensiones: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT y WAB.
• Envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
• Sin embargo, no se envía a ninguna dirección que contenga alguna de estas cadenas de texto:
  .gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal:, berkeley, borlan, bsd, bugs, ca, certific, contact, expample, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosoft, ietf, impris, info, isc.o, isi.e, kernel, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur, service, site, soft, somebody, someone, sopho, submit, support, syma, tanford.e, the.bat, unix, upport, usenet, utgers.ed, webmaster, www, you y your.

Otros Detalles  

Mydoom.R está escrito en el lenguaje de programación Visual C++ v6. Este gusano tiene un tamaño de 27136 Bytes cuando se encuentra comprimido mediante UPX, y de 53248 Bytes una vez descomprimido.