Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Mydoom.M | |
Peligrosidad Daño Propagación |
De un vistazo
| |
Nombre común: | Mydoom.M |
Nombre técnico: | W32/Mydoom.M.worm |
Peligrosidad: | Media |
Tipo: | Gusano |
Efectos: | Instala una librería de enlace dinámico que abre el puerto TCP 1042 y actúa como backdoor. Finaliza procesos pertenecientes a programas antivirus. |
Plataformas que infecta: | Windows XP/2000/NT/ME/98/95 |
Fecha de detección: | 19/07/2004 |
Detección actualizada: | 20/07/2004 |
Estadísticas | No |
Protección proactiva: | Sí, mediante las Tecnologías TruPrevent
|
Descripción Breve | |
Mydoom.M es un gusano que instala una librería de enlace dinámico (DLL) que abre el puerto TCP 1042 y permanece a la escucha, actuando como backdoor. De este modo, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo. Además, dicha librería también finalizará cualquier proceso que contenga ciertas cadenas de texto, asociadas con programas antivirus y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros malware. Mydoom.M se propaga a través del correo electrónico en un mensaje con características variables y a través de programas de intercambio de archivos punto a punto (P2P). |
Síntomas Visibles | |
Mydoom.M es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. |
Detalles técnicos
Efectos |
Mydoom.M realiza las siguientes acciones: Instala una librería de enlace dinámico (DLL) que abre el puerto TCP 1042 y permanece a la escucha, actuando como backdoor. De este modo, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo. Finaliza cualquier proceso que contenga alguna de las siguientes cadenas de texto:
avp., avp32, intrena, mcafe, navapw, navw3, norton, reged, taskmg y taskmo.
Estas cadenas están relacionadas con programas antivirus y herramientas de monitorización del sistema. La finalización de dichos procesos deja al ordenador afectado vulnerable frente al ataque de otros malware.
|
Metodo de Infección
Mydoom.M crea los siguientes archivos:
LSASS.EXE en el directorio de Windows. Este archivo es una copia del gusano.
Un archivo de texto, con nombre aleatorio y extensión TXT, en el directorio temporal de Windows. Mydoom.M emplea este archivo como apoyo para realizar sus acciones.
Mydoom.M crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Traybar = %windir%\ lsass.exe
donde %windir% es el directorio de Windows.
Con esta entrada, Mydoom.M consigue ejecutarse cada vez que se inicia Windows.
Si no consigue crear esta entrada, crea la siguiente:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Traybar = %windir%\ lsass.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ POSIX
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ POSIX
Mydoom.M emplea estas dos entradas como marca de infección, para comprobar si el ordenador ha sido ya afectado.
Método de Propagación
Mydoom.M se propaga a través del correo electrónico y de programas de intercambio de archivos punto a punto (P2P).
1.- Propagación a través del correo electrónico.
Mydoom.M realiza el siguiente proceso:
Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:
Remitente:
Mydoom.M falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Mydoom.M puede añadir cualquiera de los siguientes textos a la dirección falsificada del remitente:
"Automatic Email Delivery Software"
"Bounced mail"
"Mail Delivery Subsystem"
"MAILER-DAEMON"
"Post Office"
"Returned mail"
"The Post Office"
“Mail Administrator”
“Postmaster”
MAILER-DAEMON
noreplypostmaster
Asunto: puede ser uno de los siguientes:
click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
report
say helo to my litl friend
status
Contenido: puede estar en blanco, ser un conjunto ilegible de caracteres o uno de los siguientes:
Mensaje 1:
The original message was received at
from []
----- The following addresses had permanent fatal errors -----
Mensaje 2:
The original message was received at
from []
----- The following addresses had permanent fatal errors -----
----- Transcript of session follows -----
while talking to .:
>>> MAIL From:
<<< 501 ... Refused
Mensaje 3:
This Message was undeliverable due to the following reason:
Your message was not delivered because the destination computer was
not reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message was not delivered within 7 days:
Host is not responding.
The following recipients did not receive this message:
Please reply to
if you feel this message to be in error.
Mensaje 4:
Message could not be delivered
Mensaje 5:
The original message was included as attachment
Archivo adjunto: es variable:
Posibles nombres de archivo: puede ser completamente aleatorio, o ser alguno de los siguientes: ATTACHMENT, DOCUMENT, FILE, LETTER, MAIL, MESSAGE, README, TEXT, TRANSCRIPT.
Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP, COM.
Cuando el archivo es ejecutado, el ordenador quedará afectado.
- Mydoom.M busca direcciones de correo en ficheros que tengan las siguientes extensiones: DOC, HTM, HTML y TXT.
- Mydoom.M se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.
Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo una serie de prefijos al dominio de correo del destinatario. - Sin embargo, Mydoom.M evita enviarse a direcciones que cumplan alguna de las siguientes características:
- El dominio de la dirección contiene alguna de estas cadenas: .gov, .mil, arin., avp, bar., domain, example, foo., gmail, gnu., google, gov., hotmail, labs, math, mcrosoft, msn., ophos, panda, rarsoft, ripe., sarc., seclist, secure, sf.net, sourceforge, spersk, syma, update, uslis y winzip.
- El nombre de destinatario es alguno de los siguientes: anyone, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, rating, root, samples, service, site, soft, someone, the.bat, you y your.
- El nombre de destinatario contiene alguna de las siguientes cadenas: abus, accoun, admi, bug, contact, crosoft, listserv, master, ntivi, priacycertific, sample, secure, spam, submit y suppor.
2.- Propagación a través de programas de intercambio de archivos P2P.
Mydoom.M realiza el siguiente proceso:
- Crea copias de sí mismo en directorios que contengan alguna de las siguientes cadenas de texto: download, ftproot, incoming, shar. De este modo, intenta copiarse en los directorios compartidos de programas de intercambio de archivos.
- Las copias de Mydoom.M realizadas tienen nombre variable, que consiste en un nombre de archivo y extensión aleatorios:
Posibles nombres de archivo: Harry Potter, ICQ 4 Lite, index, Kazaa Lite, Winamp 5.0 (en), Winamp 5.0 (en) Crack, WinRAR.v.3.2.and.key.
Posibles extensiones: SCR, COM, EXE, SHAREREACTOR.COM. - Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.M, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.M.
Otros Detalles
Mydoom.M tiene un tamaño de aproximadamente 33 KBytes. Por su parte, la librería de enlace dinámico instalada tiene un tamaño de 8776 Bytes y está comprimida mediante UPX.
Mydoom.M crea el mutex jmydoat%smtx, para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.