publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Mydoom.B

Virus Mydoom.B

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy baja Propagación Propagación muy baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Mydoom.B realiza las siguientes acciones:

  • Realiza ataques de Denegación de Servicio Distribuida (DDoS) contra las páginas web www.sco.com y www.microsoft.com lanzando peticiones GET/ HTTP/ 1.1.

    En ocho de cada diez ocasiones, y si la fecha del sistema es posterior al 1 de febrero de 2004 a las 16:09:18, comienza el ataque contra www.sco.com.
    En siete de cada diez ocasiones, y si la fecha del sistema es posterior al 3 de febrero de 2004 a las 13:09:18, comienza el ataque contra www.microsoft.com.
    Si la fecha del sistema es anterior al 3 de febrero de 2004 a las 13:09:18, cuando Mydoom.B crea el fichero HOSTS, incluye el valor 0.0.0.0 www.microsoft.com, con lo que evita que el usuario pueda acceder al sitio de Microsoft. Una vez alcanzada esta fecha, elimina dicho valor, con lo que el ataque puede realizarse.
  • Permite a un hacker ganar acceso remoto a los recursos de red, puesto que suelta la librería de enlace dinámico (DLL) CTFMON.DLL, que crea un backdoor, para abrir el primer puerto TCP disponible desde el 3127 al 3198.
  • Si el ordenador ya había sido afectado por Mydoom.A, Mydoom.B descarga el proceso de aquél y borra el fichero SHIMGAPI.DLL, que pertenecen a la variante anterior, para así instalarse a sí mismo.
  • Abre el Bloc de notas de Windows y muestra texto basura:

  • Impide al usuario que acceda a las siguientes páginas web, redireccionándolas a la dirección IP 0.0.0.0:

    engine.awaps.net, awaps.net, www.awaps.net, ad.doubleclick.net, spd.atdmt.com, atdmt.com, click.atdmt.com, clicks.atdmt.com, media.fastclick.net, fastclick.net, www.fastclick.net, ad.fastclick.net, ads.fastclick.net, banner.fastclick.net, banners.fastclick.net, www.sophos.com, sophos.com, ftp.sophos.com, f-secure.com, www.f-secure.com, ftp.f-secure.com, securityresponse.symantec.com, www.symantec.com, symantec.com, service1.symantec.com, liveupdate.symantec.com, update.symantec.com, updates.symantec.com, support.microsoft.com, downloads.microsoft.com, download.microsoft.com, windowsupdate.microsoft.com, office.microsoft.comMetodo de infección:

    Mydoom.B crea los siguientes ficheros en el directorio de sistema de Windows:

    • EXPLORER.EXE. Este fichero es una copia del gusano. Su icono es muy parecido a un fichero de texto:

    • CTFMON.DLL. Este fichero es un backdoor que abre el primer puerto TCP disponible en el rango del 3127 al 3198.
    • EMAIL en el directorio temporal de Windows. Este fichero contiene el texto que muestra el Bloc de notas la primera vez que se activa el gusano.
    • HOSTS. Si este fichero existe, lo sobrescribe. En ordenadores con Windows Me/98/95, este fichero se encuentra en el directorio de Windows (C:\ WINDOWS por defecto). En ordenadores con Windows 2003/XP/2000/NT, este fichero se encuentra en el subdirectorio DRIVERS\ ETC, del directorio de sistema de Windows.
      Creando o sobrescribiendo este fichero, Mydoom.B redirecciona las páginas web descritas en el apartado Efectos a la dirección IP 0.0.0.0, evitando que el usuario pueda acceder a ellas.

      Nota: la presencia de este fichero en el ordenador no significa necesariamente que esté afectado por Mydoom.B

    Mydoom.B crea las siguientes entradas en el Registro de Windows:

    • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      Explorer = %sysdir%\ explorer.exe
      donde %sysdir% es el directorio de sistema de Windows. En ordenadores con Windows Me/98/95, este directorio es por defecto C:\ WINDOWS\ SYSTEM, mientras que en ordenadores con Windows 2003/XP/2000/NT, es C:\WINNT\ SYSTEM32.
      Con esta entrada, Mydoom.B consigue ejecutarse cada vez que se inicia Windows.
      Si no consigue crear esta entrada, crea la siguiente:

      HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      Explorer = %sysdir%\ explorer.exe

      Nota: los sistemas operativos Windows tienen un fichero llamado EXPLORER.EXE en el directorio de Windows (C:\ WINDOWS por defecto). Dicho fichero no está relacionado en modo alguno con Mydoom.B.
    • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
      (default) = %sysdir%\CTFMON.DLL
      Con esta entrada, Mydoom.B lanza el fichero CTFMON.DLL con el Explorador de Windows.
    • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
    • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
    • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
    • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
      Con estas entradas, Mydoom.A comprueba si el ordenador ha sido ya afectado. 

    Metodo de propagación:

    Mydoom.B se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.

    1.- Propagación a través del correo electrónico.

    Mydoom.B realiza el siguiente proceso:

    • Llega al ordenador afectado en un mensaje de correo de características variables:

      Remitente:
      Mydoom.B falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

      Asunto: puede ser uno de los siguientes:
      test
      hi
      hello
      Mail Delivery System
      Mail Transaction Failed
      Server Report
      Status
      Error
      Returned mail
      Delivery Error
      Unable to deliver the message

      Contenido: uno de los siguientes:
      Mail Transaction Failed. Partial message is available.

      The message contains Unicode characters and has been sent as a binary attachment.

      The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

      The message contains MIME-encoded characters and has been sent as a binaryattachment.

      sendmail daemon reported:
      Error #804 occured during SMTP session. Partial message has been received.

      Fichero adjunto: el nombre del fichero es variable, y tiene extensión aleatoria:
      Posibles nombres de fichero: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST, MESSAGE, BODY.
      Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP.
      Algunas veces, el fichero adjunto tiene doble extensión. En ese caso, la primera extensión siempre será una de las siguientes: HTM, TXT o DOC.
    • Cuando el fichero es ejecutado, el ordenador quedará afectado.
    • Mydoom.B busca direcciones de correo en ficheros que tengan las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.
    • Mydoom.B se envía a sí mismo a todas las direcciones que encuentre y a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP.
      Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo los siguientes prefijos al dominio de correo del destinatario: gate., mail., mail1., mx., mx1., mxs., ns., relay., smtp..
    • Sin embargo, no se envía a las direcciones que presenten las siguientes características:

      - El dominio contiene una de las siguientes cadenas de texto: .gov, .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
      - El nombre de la dirección es una de las siguientes: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you, your.
      - La cuenta de correo contiene alguna de las siguientes cadenas: admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google, accoun.

    2.- Propagación a través de KaZaA.

    Mydoom.B realiza el siguiente proceso:

    • Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias tienen nombre variable, que consisten en un nombre de archivo y extensión aleatorios:
      Posibles nombre de archivo: WINAMP5, ICQ2004-FINAL, NESSUSSCAN.PRO, ATTACKXP-1.26, MS04-01_HOTFIX, ZAPSETUP_40_148, BLACKICE_FIREWALL_ENTERPRISEACTIVATION_CRACK, XSHAREZ_SACANNER.
      Posibles extensiones: PIF, SCR, BAT, EXE.
    • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
    • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.B.

    Otros detalles:

    Mydoom.B está escrito en lenguaje Ensamblador. El gusano tiene un tamaño de 29184 Bytes, y se encuentra comprimido mediante UPX y PEPatch.

    Parte de las cadenas que el gusano emplea están encriptadas con una función de desplazamiento denominada consistente en rotar 13 posiciones hacia la derecha los caracteres.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork