publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Mydoom.N

Virus Mydoom.N

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación media Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Mydoom.N realiza las siguientes acciones:

  • Instala un archivo que actúa como backdoor, abriendo el puerto TCP 1034 y permaneciendo a la escucha. De este modo, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
  • Busca y cierra las ventanas que posean alguno de los siguientes nombres:

    rctrl_renwnd32
    ATH_Note
    IEFrame

Metodo de infección:

Mydoom.N crea los siguientes archivos:

  • JAVA.EXE en el directorio de Windows. Este archivo es una copia del gusano.
  • SERVICES.EXE en el directorio de Windows. Este archivo es una copia del backdoor.
  • ZINCITE.LOG y un archivo con nombre aleatorio y extensión LOG en el directorio temporal de Windows. Estos archivos son creados por Mydoom.N como ayuda para afectar el ordenador.

Mydoom.N crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    JavaVM = %windir%\ java.exe
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Services = %windir%\ Services.exe
    donde %windir% es el directorio de Windows.
    Mediante estas entradas, Mydoom.N consigue ejecutarse cada vez que se inicia Windows.

    Si no consigue crear las anteriores entradas, en su lugar intentará crear estas otras:
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    JavaVM = %windir%\ java.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Services = %windir%\ Services.exe

Adicionalmente, también crea las siguientes entradas:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Daemon
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Daemon

Metodo de propagación:

Mydoom.N se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:

    Remitente:
    Mydoom.N falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
    Mydoom.N puede añadir cualquiera de los siguientes textos a la dirección falsificada del remitente:
    "Automatic Email Delivery Software"
    "Bounced mail"
    "Mail Delivery Subsystem"
    "MAILER-DAEMON"
    "Post Office"
    "Returned mail"
    "The Post Office"
    "Mail Administrator"
    "Postmaster"
    MAILER-DAEMON
    noreply

    Asunto: puede ser uno de los siguientes:
    <en blanco>
    test
    hi
    Message could not be delivered
    Mail System Error - Returned Mail
    delivery failed
    Delivery reports about your e-mail
    error
    hello
    report
    Returned Mail: see transcript for details
    status

    Contenido: puede estar en blanco, ser un conjunto ilegible de caracteres o uno de los siguientes:
    Mensaje 1:
    The original message was received at <hora y fecha>
    from <dirección página web> [<dirección IP>]

    ----- The following addresses had permanent fatal errors -----
    <dirección página web>

    Mensaje 2:
    The original message was received at <hora y fecha>
    from <dirección página web> [<dirección IP>]

    ----- The following addresses had permanent fatal errors -----
    <dirección correo electrónico>

    ----- Transcript of session follows -----
    while talking to <servidor>.:
    >>> MAIL From:<dirección correo electrónico>
    <<< 501 <dirección correo electrónico>... Refused

    Mensaje 3:
    This Message was undeliverable due to the following reason:

    Your message was not delivered because the destination computer was
    not reachable within the allowed queue period. The amount of time
    a message is queued before it is returned depends on local configura-
    tion parameters.

    Most likely there is a network problem that prevented delivery, but
    it is also possible that the computer is turned off, or does not
    have a mail system running right now.

    Your message was not delivered within 7 days:
    Host <dirección IP> is not responding.

    The following recipients did not receive this message:
    <dirección correo electrónico>

    Please reply to <dirección correo electrónico>
    if you feel this message to be in error.

    Mensaje 4:
    Message could not be delivered


    Archivo adjunto: es variable:
    Posibles nombres de archivo: puede ser completamente aleatorio, o ser alguno de los siguientes: ATTACHMENT, DOCUMENT, FILE, INSTRUCTION, LETTER, MAIL, MESSAGE, README, TEXT, TRANSCRIPT.
    Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP, COM.
    El archivo adjunto puede llegar dentro de un archivo con extensión ZIP, que algunas veces puede estar doblemente comprimido.
    En ocasiones, el archivo adjunto que contiene el gusano llega dañado.
  • Cuando el archivo es ejecutado, el ordenador quedará afectado.
  • Mydoom.N busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT y WAB.
  • Mydoom.N se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.
    Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo una serie de prefijos al dominio de correo del destinatario.
  • Sin embargo, Mydoom.N evita enviarse a direcciones que cumplan alguna de las siguientes características:
    - El dominio de la dirección contiene alguna de estas cadenas: .gov, .mil, arin., avp, bar., domain, example, foo., gmail, gnu., google, gov., hotmail, labs, math, mcrosoft, msn., ophos, panda, rarsoft, ripe., sarc., seclist, secure, sf.net, sourceforge, spersk, syma, update, uslis y winzip.
    - El nombre de destinatario es alguno de los siguientes: anyone, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, rating, root, samples, service, site, soft, someone, the.bat, you y your.
    - El nombre de destinatario contiene alguna de las siguientes cadenas: abus, accoun, admi, bug, contact, crosoft, listserv, master, ntivi, privacycertific, sample, secure, spam, submit y suppor.

Otros detalles:

Mydoom.N está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño variable, que oscila entre 8192 y 28800 Bytes cuando está comprimido mediante UPX, mientras que ocupa entre 10240 y 40448 Bytes una vez descomprimido.

Mydoom.N crea un mutex para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.

Este gusano crea numerosos hilos de ejecución, pudiendo llegar a causar un error de acceso a página inválida. Por su parte, el componente backdoor crea tres hilos de ejecución, y se registra como un servicio de Windows, para no aparecer en el Administrador de tareas.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork