Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Mydoom.A

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

De un vistazo

Nombre común:Mydoom.A
Nombre técnico:W32/Mydoom.A.worm
Peligrosidad:Media
Alias:I-Worm/Novarg, WORM_MIMAIL.R W32/Mydoom@MM I-Worm/Novarg@MM
Tipo:Gusano
Efectos:  Lanza ataques de Denegación de Servicio Distribuida contra la página web www.sco.com. Abre varios puertos, para controlar remotamente el ordenador afectado.

Plataformas que infecta:

Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección:27/01/2004
Detección actualizada:25/06/2007
EstadísticasNo
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent
Utilidad de reparación:Panda QuickRemover

Descripción Breve 

    

Mydoom.A es un gusano que se propaga a través del correo electrónico en un mensaje con características variables y a través del programa de ficheros compartidos (P2P) KaZaA.

Mydoom.A realiza ataques de Denegación de Servicio Distribuida (DDoS) contra la página web www.sco.com si la fecha del sistema se encuentra entre el 1 y el 12 de Febrero de 2004. Realiza esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos. A partir del 12 de Febrero de 2004, el gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado.

Mydoom.A suelta la librería de enlace dinámico (DLL) SHIMGAPI.DLL, creando un backdoor, que abre el primer puerto TCP disponible desde el 3127 al 3198. Este componente del backdoor permite descargar y ejecutar un fichero ejecutable, y actúa como un servidor proxy TCP, permitiendo que un hacker gane acceso remoto a los recursos de red.

Nota: el 10 de febrero de 2004, PandaLabs detectó una nueva variante de este gusano. Esta variante realiza las mismas acciones que el original, pero está comprimida mediante Petite en lugar de utilizar UPX.

Síntomas Visibles

    

Mydoom.A es fácil de reconocer, puesto que cuando es ejecutado, abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra texto basura.

Detalles técnicos

Efectos

Mydoom.A realiza las siguientes acciones:

  • Realiza ataques de Denegación de Servicio Distribuida (DDoS) contra la página web www.sco.com si la fecha del sistema se encuentra entre el 1 y el 12 de Febrero de 2004. Realiza esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos. A partir del 12 de Febrero de 2004, el gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado
  • Permite a un hacker tener acceso a los recursos de red, puesto que suelta la librería de enlace dinámico (DLL) SHIMGAPI.DLL, que crea un backdoor, para abrir el primer puerto TCP disponible desde el 3127 al 3198. Este componente del backdoor permite descargar y ejecutar un fichero ejecutable, y actúa como un servidor proxy TCP.
  • Abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra texto basura.

Nota: el 10 de febrero de 2004, PandaLabs detectó una nueva variante de este gusano. Esta variante realiza las mismas acciones que el original, pero está comprimida mediante Petite en lugar de utilizar UPX.

Metodo de Infección

Mydoom.A crea los siguientes archivos en el directorio de sistema de Windows:

  • TASKMON.EXE. Este archivo es una copia del gusano.
  • SHIMGAPI.DLL. Este archivo es un backdoor que abre los puertos TCP del 3127 al 3198.
  • MESSAGE en el directorio temporal de Windows. Este archivo contiene el texto que muestra el Bloc de notas la primera vez que se activa el gusano.

Mydoom.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TaskMon = %sysdir%\taskmon.exe

    donde %sysdir% es el directorio de sistema de Windows. En ordenadores con Windows Me/98/95, este directorio es por defecto C:\ WINDOWS\ SYSTEM, mientras que en ordenadores con Windows 2003/XP/2000/NT, es C:\WINNT\ SYSTEM32.
    Con esta entrada, Mydoom.A consigue ejecutarse cada vez que se inicia Windows.
    Si no consigue crear esta entrada, crea la siguiente:

    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TaskMon = %sysdir%\ taskmon.exe
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
    (default) = %sysdir%\SHIMGAPI.DLL

    Con esta entrada, Mydoom.A lanza el archivo SHIMGAPI.DLL con el Explorador de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
    Con estas entradas, Mydoom.A comprueba si el ordenador ha sido ya afectado.

Método de Propagación

Mydoom.A se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.

1.- Propagación a través del correo electrónico.

Mydoom.A realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente:
    Mydoom.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: puede ser uno de los siguientes:
    test
    hi
    hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    Error


    Contenido: uno de los siguientes:
    Mail Transaction Failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


    Archivo adjunto: el nombre del archivo es variable, y tiene extensión aleatoria:
    Posibles nombres de archivo: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST, MESSAGE, BODY.
    Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP.
    Algunas veces, el archivo adjunto tiene doble extensión. En ese caso, la primera extensión siempre será una de las siguientes: HTM, TXT o DOC.
  • Cuando el archivo adjunto es ejecutado, el ordenador quedará afectado.
  • Mydoom.A busca direcciones de correo en archivos que tengan las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.
  • Mydoom.A se envía a sí mismo a todas las direcciones que encuentre y a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP.
    Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo los siguientes prefijos al dominio de correo del destinatario: gate., mail., mail1., mx., mx1., mxs., ns., relay., smtp..
  • Sin embargo, no se envía a las direcciones que presenten las siguientes características:

    - El dominio contiene una de las siguientes cadenas de texto: .gov, .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
    - El nombre de la dirección es una de las siguientes: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you, your.
    - La cuenta de correo contiene alguna de las siguientes cadenas: admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google, accoun.

2.- Propagación a través de KaZaA.

Mydoom.A realiza el siguiente proceso:

  • Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias tienen nombre variable, que consisten en un nombre de archivo y extensión aleatorios:
    Posibles nombre de archivo: WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP, OFFICE_CRACK, NUKE2004.
    Posibles extensiones: PIF, SCR, BAT, EXE.
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.A, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.A.

Otros Detalles

Mydoom.A está escrito en lenguaje Ensamblador. El gusano tiene un tamaño de 22528 Bytes cuando se encuentra comprimido mediante UPX, y de 32768 Bytes una vez descomprimido.

Mydoom.A crea un mutex llamado SwebSipcSmtxSO para asegurarse de que sólo se ejecutará una copia del gusano simultáneamente.

Parte de las cadenas que el gusano emplea están encriptadas con una función de desplazamiento consistente en rotar 13 posiciones hacia la derecha los caracteres.

Nota: el 10 de febrero de 2004, PandaLabs detectó una nueva variante de este gusano. Esta variante realiza las mismas acciones que el original, pero está comprimida mediante Petite en lugar de utilizar UPX. Tiene un tamaño de 24048 Bytes cuando está comprimido, y de 42280 Bytes una vez descomprimido.

Solución

Ver solución