|
Efectos:
Mydoom.AO lleva a cabo las siguientes acciones: - Afecta únicamente a ordenadores con Windows 2003/XP/2000/NT.
- Abre el puerto TCP 1034 y permanece a la escucha, actuando como un backdoor.
- Descarga de Internet un archivo denominado MODULELOG.PNG. En realidad, este archivo no es una imagen de tipo PNG, sino un archivo ejecutable correspondiente al backdoor Bck/Surila.J.
- Está programado para cerrar cualquier ventana activa que pertenezca a alguna de las siguientes clases de ventana:
IEFrame (ventanas de Internet Explorer).
rctrl_renwnd.
ATH_Note. - Se registra como un servicio de Windows para dificultar su localización por parte del usuario.
- Crea varios hilos de ejecución. El segundo de ellos es lanzado después de un retardo aleatorio con una prioridad que no ralentiza excesivamente al ordenador, de modo que no se levanten sospechas por parte del usuario.
Metodo de infección:
Mydoom.AO crea los siguientes archivos en el directorio de Windows: Mydoom.AO crea las siguientes entradas en el Registro de Windows: - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
JavaVM = %windir%\ java.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Services = %windir%\ Services.exe
donde %windir% es el directorio de Windows.
En caso de no poder crear cualquiera de estas dos entradas, intentará crear las siguientes:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
JavaVM = %windir%\ java.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Services = %windir%\ Services.exe
Mediante estas cuatro entradas, Mydoom.AO consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Daemon
Si no puede crearla, intentará crear la siguiente:
HKEY_CURRENT_USER\ Software\ Microsoft\ Daemon
Mydoom.AO emplea estas entradas como marca de infección, para comprobar si ha afectado anteriormente al ordenador.
Metodo de propagación:
Mydoom.AO se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso: Llega al ordenador afectado en un mensaje de correo de características variables, escrito en inglés: Remitente: Mydoom.AO falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí. Además de direcciones robadas, también puede emplear alguno de los siguientes textos como falso remitente: Automatic Email Delivery Software
Bounced mail
Mail Administrator
Mail Delivery Subsystem
MAILER-DAEMON
Post Office
Postmaster
Returned mail
The Post Office Asunto: puede ser uno de los siguientes: <en blanco> delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
status
testContenido: cualquiera de los siguientes: <en blanco> <caracteres aleatorios> The original message was included as attachment.También puede ser un mensaje muy complejo, generado a partir de alguna de cuatro posibles plantillas. Para más información de estas plantillas, pulse aquí. A continuación puede observar algún ejemplo de contenidos generados usando estas plantillas: Ejemplo 1:
The original message was received at %fecha y hora% from %dominio% %dirección IP del dominio% ----- The following addresses had permanent fatal errors -----
%dirección de correo% Ejemplo 2:
Dear user of %dominio% ,
Your account has been used to send a huge amount of junk email during the last week.
Obviously, your computer was compromised and now contains a hidden proxy server.
We recommend you to follow our instructions in order to keep your computer safe.
Virtually yours,
%dominio% user support team.
Ejemplo 3:
This message was not delivered due to the following reason:
Your message could not be delivered because the destination server was
not reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message could not be delivered within 6 days:
%dirección IP del dominio% is not responding.
The following recipients did not receive this message:%dirección de correo% Please reply to %dirección de correo% if you feel this message to be in error.
Ejemplo 4:
Dear user of %dominio% Your account has been used to send a large amount of unsolicited commercial e-mail messages during the last week.
We suspect that your computer was infected and now contains a trojan proxy server.
We recommend you to follow our instruction in order to keep your computer safe.
Best wishes,
%dominio% user support team.
Final de ejemplos de contenidos.Archivo adjunto: el nombre del archivo es variable, y tiene extensión aleatoria: Posibles nombres de archivo: puede ser aleatorio, la dirección de correo del receptor, el dominio de correo del receptor o alguno de los siguientes: ATTACHMENT, DOCUMENT, FILE, INSTRUCTION, LETTER, MAIL, MESSAGE, README, TEXT, TRANSCRIPT. Posibles extensiones: BAT, CMD, COM, EXE, PIF, SCR, ZIP. Si el archivo adjunto tiene extensión ZIP, puede estar doblemente comprimido. El archivo descomprimido tendrá doble extensión, que consiste en una primera extensión falsa ( DOC, HTM, HTML or TXT), varios espacios en blanco y una extensión final ( BAT, CMD, COM, EXE,PIF, SCR).
- Mydoom.AO busca direcciones de correo electrónico:
- En los primeros 32 kilobytes de archivos con las siguientes extensiones: ADB, ASP, DBX, DOC, HTM, HTML, SHT, TBB y TXT.
- En los primeros 32 kilobytes de archivos cuya extensión comienza por HT, PH, PL o HT.
- Utiliza búsquedas intensivas en buscadores web populares, como por ejemplo Google, Altavista, Yahoo y Lycos.
Nota: En ocasiones, se intenta proteger las direcciones de correo electrónico contra técnicas de spam, cambiado determinados caracteres por otros que no sean fácilmente reconocibles por programas automatizados. Por ejemplo, la dirección nombre@dominio puede modificarse a nombre(at)dominio, de manera que se proteja la dirección contra robots encargados de capturar direcciones.
Sin embargo, Mydoom.AO evita algunas de dichas astucias, ya que es capaz de interpretar determinadas combinaciones utilizadas habitualmente:
"."
"(dot)"
"_dot_"
“.dot."
" "
" "
" at "
"_at_"
".at."
"(at)"
"(@)"
"@@"
" @"
"@ "
" " (un espacio en blanco)
" " (dos espacios en blanco) - Mydoom.AO se envía a sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo una serie de prefijos al dominio de correo del destinatario. - Sin embargo, no se envía a las direcciones que presenten las siguientes características:
- El dominio contiene una de las siguientes cadenas de texto: arin., avp, bar., domain, example, foo.com, gmail, gnu., google, hotmail, microsoft, msdn., msn., panda, rarsoft, ripe., sarc., seclist, secur, sf.net, sophos, sourceforge, spersk, syma, trend, update, uslis, winrar, winzip, yahoo.
- El nombre de la dirección es una de las siguientes: anyone, ca, feste, foo, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, rating, site, soft, someone, the.bat, you, your.
- La cuenta de correo contiene alguna de las siguientes cadenas: abuse, accoun, admin, bugs, listserv, mailer-d, master, ntivi, privacycertific, sample, secur, spam, submit, support.
Otros detalles:
Mydoom.AO está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 25771 Bytes y está comprimido mediante MEW. Este gusano crea un Mutex de nombre jmydoat%smtx para asegurarse de que sólo se ejecutará una copia simultáneamente. |
