Hello!

You’re about to visit our web page in Español
Would you like to continue?

Yes, I want to visit the web page in Español No, I want to visit the web page in

If this is not what you’re looking for,

Visit our Welcome Page!

image
Panda Dome para todos tus dispositivos con -50% de descuento
-50%
Mi cuenta

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Mydoom.A

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

Efectos

Mydoom.A realiza las siguientes acciones:

  • Realiza ataques de Denegación de Servicio Distribuida (DDoS) contra la página web www.sco.com si la fecha del sistema se encuentra entre el 1 y el 12 de Febrero de 2004. Realiza esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos. A partir del 12 de Febrero de 2004, el gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado
  • Permite a un hacker tener acceso a los recursos de red, puesto que suelta la librería de enlace dinámico (DLL) SHIMGAPI.DLL, que crea un backdoor, para abrir el primer puerto TCP disponible desde el 3127 al 3198. Este componente del backdoor permite descargar y ejecutar un fichero ejecutable, y actúa como un servidor proxy TCP.
  • Abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra texto basura.

Nota: el 10 de febrero de 2004, PandaLabs detectó una nueva variante de este gusano. Esta variante realiza las mismas acciones que el original, pero está comprimida mediante Petite en lugar de utilizar UPX.

Metodo de Infección

Mydoom.A crea los siguientes archivos en el directorio de sistema de Windows:

  • TASKMON.EXE. Este archivo es una copia del gusano.
  • SHIMGAPI.DLL. Este archivo es un backdoor que abre los puertos TCP del 3127 al 3198.
  • MESSAGE en el directorio temporal de Windows. Este archivo contiene el texto que muestra el Bloc de notas la primera vez que se activa el gusano.

Mydoom.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TaskMon = %sysdir%\taskmon.exe
    donde %sysdir% es el directorio de sistema de Windows. En ordenadores con Windows Me/98/95, este directorio es por defecto C:\ WINDOWS\ SYSTEM, mientras que en ordenadores con Windows 2003/XP/2000/NT, es C:\WINNT\ SYSTEM32.
    Con esta entrada, Mydoom.A consigue ejecutarse cada vez que se inicia Windows.
    Si no consigue crear esta entrada, crea la siguiente:

    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TaskMon = %sysdir%\ taskmon.exe
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
    (default) = %sysdir%\SHIMGAPI.DLL
    Con esta entrada, Mydoom.A lanza el archivo SHIMGAPI.DLL con el Explorador de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
    Con estas entradas, Mydoom.A comprueba si el ordenador ha sido ya afectado.

Método de Propagación

Mydoom.A se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.

1.- Propagación a través del correo electrónico.

Mydoom.A realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente:
    Mydoom.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: puede ser uno de los siguientes:
    test
    hi
    hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    Error

    Contenido: uno de los siguientes:
    Mail Transaction Failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    Archivo adjunto: el nombre del archivo es variable, y tiene extensión aleatoria:
    Posibles nombres de archivo: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST, MESSAGE, BODY.
    Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP.
    Algunas veces, el archivo adjunto tiene doble extensión. En ese caso, la primera extensión siempre será una de las siguientes: HTM, TXT o DOC.
  • Cuando el archivo adjunto es ejecutado, el ordenador quedará afectado.
  • Mydoom.A busca direcciones de correo en archivos que tengan las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.
  • Mydoom.A se envía a sí mismo a todas las direcciones que encuentre y a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP.
    Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo los siguientes prefijos al dominio de correo del destinatario: gate., mail., mail1., mx., mx1., mxs., ns., relay., smtp..
  • Sin embargo, no se envía a las direcciones que presenten las siguientes características:

    - El dominio contiene una de las siguientes cadenas de texto: .gov, .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
    - El nombre de la dirección es una de las siguientes: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you, your.
    - La cuenta de correo contiene alguna de las siguientes cadenas: admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google, accoun.

2.- Propagación a través de KaZaA.

Mydoom.A realiza el siguiente proceso:

  • Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias tienen nombre variable, que consisten en un nombre de archivo y extensión aleatorios:
    Posibles nombre de archivo: WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP, OFFICE_CRACK, NUKE2004.
    Posibles extensiones: PIF, SCR, BAT, EXE.
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.A, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.A.

Otros Detalles

Mydoom.A está escrito en lenguaje Ensamblador. El gusano tiene un tamaño de 22528 Bytes cuando se encuentra comprimido mediante UPX, y de 32768 Bytes una vez descomprimido.

Mydoom.A crea un mutex llamado SwebSipcSmtxSO para asegurarse de que sólo se ejecutará una copia del gusano simultáneamente.

Parte de las cadenas que el gusano emplea están encriptadas con una función de desplazamiento consistente en rotar 13 posiciones hacia la derecha los caracteres.

Nota: el 10 de febrero de 2004, PandaLabs detectó una nueva variante de este gusano. Esta variante realiza las mismas acciones que el original, pero está comprimida mediante Petite en lugar de utilizar UPX. Tiene un tamaño de 24048 Bytes cuando está comprimido, y de 42280 Bytes una vez descomprimido.

Anytech logo

Llámanos las 24 horas del día y te haremos un diagnóstico gratuito

+1 (323) 395 2630

logo
Acerca de Panda
Conócenos
Tecnología Panda Security
Apoyo a la innovación
Panda en el Mundo
Soporte
Blog
Security Info
Particulares
Productos
Descargas
Free Antivirus
Free VPN
Antivirus Online
Opiniones
Ya soy cliente
Empresas - WatchGuard Technologies
WatchGuard
Endpoint Security
Network Security
AuthPoint MFA
Secure Wi-Fi
Partners
Política de privacidad
Aviso legal
Política de cookies
Política de devolución