W32/Mydoom. R. Gusano de gran propagación: ¿Como desinfectar el equipo?

• 28/07/2004
• Internacional

Tweet

Nombre: W32/Mydoom.R Tipo: Gusano de Internet Alias: Mydoom.R, MyDoom.M, Mydoom.N, Win32/Mydoom.R, W32/MyDoom-O, I-Worm.Mydoom.M, I-Worm.Mydoom.m, W32/Mydoom.o@MM, W32/Mydoom.M.worm, WORM_MYDOOM.M, W32/Mydoom.N.worm Fecha : 26/jul/04 Plataforma: Windows 32-bit Tamaño: 28,832 bytes (UPX) Fuente: http://www.vsantivirus.com/mydoom-r.htm Variante de este gusano escrito en Visual C++, que se propaga por correo electrónico. Utiliza su propio motor SMTP. Fue reportado el 26 de julio de 2004 y considerado como de gran propagación por los principales fabricantes de antivirus. Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente es identificado como Zincite.A por algunos antivirus. Más información: Back/Zincite.A. Servidor de puerta trasera http://www.vsantivirus.com/back-zincite-a.htm Puede llegar en un mensaje con las siguientes características: Asunto: [uno de los siguientes] - click me baby, one more time - delivery failed - Delivery reports about your e-mail - error - hello - hi error - Mail System Error - Returned Mail - Message could not be delivered - report - Returned mail: Data format error - Returned mail: see transcript for details - say helo to my litl friend - status - test - The original message was included as attachment - The/Your m/Message could not be delivered Texto del mensaje: El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano. Los siguientes son solo ejemplos que pueden variar en la construcción de algunas frases y la selección de diferentes palabras: Ejemplo 1: Dear user of [dominio], We have received reports that your account was used to send a large amount of unsolicited e-mail messages during the last week. Obviously, your computer had been compromised by a recent virus and now contains a trojaned proxy server. We recommend you to follow our instructions in the attachment file in order to keep your computer safe. Have a nice day, [dominio] support team. Ejemplo 2: The message was undeliverable due to the following reasons: Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Ejemplo 3: Your message could not be delivered within [número al azar] days: Host [servidor] is not responding. The following recipients could not receive this message: <[dirección]> Please reply to postmaster@[dominio] if you feel this message to be in error. The original message was received at [hora] from [dominio] ----- The following addresses had permanent fatal errors ----- <[dirección]> ----- Transcript of session follows ----- ... while talking to host [dominio]: >>> MAIL From:[dirección] <<< 50$d Refused unknown 554 <[dirección]>... Mail quota exceeded 554 <[dirección]>... Service unavailable Session aborted, reason: lost connection <<< 550 MAILBOX NOT FOUND User unknown The original message was included as attachment Ejemplo 4: Your message could not be delivered Datos adjuntos: [nombre]+[extensión] Donde [extensión] es una de las siguientes: .bat .cmd .com .exe .pif .scr .zip Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras: attachment document file instruction letter mail message readme text transcript Ejemplos: Si la dirección es "[email protected]" el adjunto puede ser alguno de los siguientes: [email protected] hotmail.com maria.scr También podría ser alguno de los siguientes: attachment.exe letter.scr transcript.com Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios. Cuando se ejecuta el gusano, se crean los siguientes archivos: c:windowsjava.exe c:windowsservices.exe El segundo, es el troyano "Zincite.A" mencionado antes. El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows: HKCUSoftwareMicrosoftWindowsCurrentVersionRun JavaVM = c:windowsjava.exe Services = c:windowsservices.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun JavaVM = c:windowsjava.exe Services = c:windowsservices.exe HKCUSoftwareMicrosoftDaemon HKLMSOFTWAREMicrosoftDaemon Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado: .adb .asp .dbx .ht* .ph* .pl* .sht* .tbb .tx* .wab Esto incluye las bases de mensajes del Outlook y la libreta de direcciones. Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones. El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso: www.google.com (lo usa un 45% de las veces) search.lycos.com (lo usa un 22.5%) search.yahoo.com (lo usa un 20%) www.altavista.com (lo usa un 12.5%) El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre: abuse accou admin anyone arin. avp bar. bugs domain example feste foo foo.com gmail gnu. gold-certs google help hotmail info listserv mailer-d master microsoft msdn. msn. nobody noone not nothing ntivi page panda privacycertific rarsoft rating ripe. sample sarc. seclist secur sf.net site soft someone sophos sourceforge spam spersk submit support syma the.bat trend update uslis winrar winzip yahoo you your Intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos: userprofile yahoo.com Reparación manual Estas instrucciones incluyen la limpieza del troyano Back/Zincite.A: Back/Zincite.A. Servidor de puerta trasera http://www.vsantivirus.com/back-zincite-a.htm