|
Noticias
relacionadas |
|
|
|
Conocido como "Mydoom.F" este nuevo gusano que se transmite
por correo electrónico esta programado para atacar el sitio de la RIAA, la
asociación de la industria discográfica de los EEUU y conocida por sus denuncias
a usuarios de redes P2P.
Otra de las diferencias con sus versiones anteriores es que en esta ocasión
elimina, además, documentos del ordenador infectado, tantos aquellos
relacionados con aplicaciones ofimáticas de Microsoft como multimedia (JPG y AVI).
Características del nuevo gusano |
Nombre: W32/Mydoom.F |
Tipo: Gusano de Internet y caballo de Troya |
Alias: Mydoom.F, W32.Novarg.F, Win32/Mydoom.F, W32/Mydoom.f@MM,
Win32.Mydoom.F, WORM_MYDOOM.F, W32/MyDoom-F |
Plataforma: Windows 32-bit |
Puertos: TCP/1080, TCP/3000 (al 5000) |
Tamaño: 34,568 bytes |
Fecha: 19/feb/04 |
Fuente Vsantivirus.com |
Variante del Mydoom.A, que se propaga por correo electrónico y unidades de red
compartidas. Fue detectado en las últimas horas del 19 de febrero de 2004. Está
preparado para realizar ataques de denegación de servicio al sitio de Microsoft,
y al de la RIAA. También finaliza algunos programas antivirus.
Usa mensajes con asuntos, textos y nombres de archivos adjuntos variables. El
mensaje suele medir de 30 a 35 Kb.
Cuando se ejecuta, muestra una ventana de error falsa, entre las siguientes
posibles:
Error
File is corrupted
[ OK ]
Error
Unable to open specified file
[ OK ]
Error
File cannot be opened
[ OK ]
Realiza ataques de denegación de servicio a las direcciones www.microsoft.com y
www.riaa.com.
El mensaje puede tener alguno de los siguientes remitentes:
Una dirección tomada al azar
Una dirección generada al azar
Solo caracteres al azar
Vacía
Asunto, cualquiera de los siguientes:
[en blanco]
=P Announcement
Accident
Announcement
Approved
ApprovedNews
Attention
automatic notification
automatic responder
bug
Confirmation
Confirmation Required
Current Status
Details
Expired account
EXPIRED ACCOUNT
fake
For you
For your information
forget
hello
hi
hi, it's me
Important
IMPORTANT
Information
Information Warning
Love is
Love is Love is...
Love is...
news
Notification
please read
Please read
please reply
Please reply
Re:
Re: Approved
Re: Details
Re: Thank you
Read it immediately
Read it immediately!
read now!
Read this
Read this message
Readme
recent news
Recent news
Registration confirmation
Returned Mail
Schedule
Something for you
stolen
Subject lines
test
Thank you
Thank You very very much
Undeliverable message
unknown
Unknown
Wanted
Warning
You have 1 day left
You use illegal File Sharing...
You use illegal File Sharing... Your IP was logged
Your account has expired
Your account is about to be expired
Your credit card
Your IP was logged
Your order is being processed
Your order was registered
Your request is being processed
Your request was registered
Los archivos adjuntos, pueden tener alguno de los siguientes nombres:
[caracteres al azar]
about
approved
attachment
bill
body
check
creditcard
data
details
disc
doc
document
file
friend
image
info
information
joke
jokes
list
mail
mail2
me
message
misc
money
msg
note
notes
object
part1
part2
part3
part4
paypal
photo
post
posting
product
ps
readme
resume
site
story
stuff
test
text
textfile
vpf
website
your_document
Las posibles extensiones para los adjuntos:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Los archivos .ZIP contienen la versión con el mismo nombre y una de las
extensiones anteriores (excepto .ZIP).
El texto del mensaje puede ser alguno de los siguientes, entre otros generados
al azar:
Check the attached document.
Details are in the attached document. You need Microsoft Office to open it.
Everything ok?
Greetings
Here is the document.
Here it is
I have your password :)
I wait for your reply.
I'm waiting
I'm waiting Okay
Information about you
Is that from you?
Is that yours?
Kill the writer of this document!
OK
OK Everything ok?
Okay
Please see the attached file for details
Please, reply
Read the details.
Reply
See the attached file for details
See you
See you Here it is
Something about you
Take it
test
The document was sent in compressed format.
We have received this document from your e-mail.
We have received this document from your email
You are a bad writer
You are bad
El icono del adjunto, representa un archivo de texto, con la idea de engañar al
usuario:
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\[nombre al azar].exe
c:\windows\system\[nombre al azar].dll
Ejemplos:
c:\windows\system\hiruszomrk.exe
c:\windows\system\vppu.dll
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de
acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.).
Para autoejecutarse en cada reinicio, modifica la siguiente entrada en el
registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = [nombre del gusano]
Ejemplo:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nhch = c:\windows\system\hiruszomrk.exe
Cuando se ejecuta, abre un troyano de acceso por puerta trasera en las
computadoras infectadas, y queda a la escucha por el puerto TCP/1080. Para ello
ejecuta el archivo DLL creado en el directorio SYSTEM de WINDOWS, como un
proceso hijo (child process) de EXPLORER.EXE. Un Child Process es un proceso
originado por un proceso padre con el que comparte recursos. También abre los
puertos TCP/3000 al 5000.
El gusano enumera los procesos que se están ejecutando, e intenta finalizar
aquellos que tengan las siguientes cadenas en sus nombres:
avp.
avp32
intrena
mcafe
navapw
navw3
norton
reged
taskmg
taskmo
También crea copias de si mismo con extensión .ZIP o .EXE, en todos los
directorios de las unidades de disco locales y mapeadas en red. Los nombres de
los archivos son seleccionados al azar.
El gusano busca en todos los discos locales y borra el 40% de todos los archivos
con las siguientes extensiones:
.avi
.bmp
.doc
.jpg
.mdb
.sav
.xls
Los contactos a los que se envía, son tomados de archivos con las siguientes
extensiones, que el gusano examina en todos los discos duros locales, además de
la libreta de direcciones:
.adb
.asp
.dbx
.eml
.hp
.htm
.mbx
.mht
.mmf
.msg
.nch
.ods
.oft
.pl
.rtf
.sht
.tbb
.txt
.uin
.vbs
.wab
El gusano utiliza su propio motor SMTP para propagarse.
Evita enviarse a direcciones que contengan los siguientes textos en su nombre:
.gov
.mil
acketst
arin.
avp
berkeley
borlan
bsd
essagela
example
fido
foo.
fsf.
gnu mit.e
google
gov.
hot
iana
ibm.com
icrosof
ietf
inpris
irix
isc.o
isi.e
kernel
linux
mail msn.
math
mozilla
mydoma
nai.co
nodoma
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sgi.com
slashdot
solaris
sopho
sourcef
sun.com
suppo
syma
tanford.e
unix
usenet
utgers.ed
El gusano también puede agregar direcciones con los siguientes nombres y
cualquier dominio de las direcciones extraídas antes:
alex
billsmith
james
jerry
jim
john
sam
Nota: un administrador puede reducir significativamente la entrada de correo
infectado a su servidor, si coloca filtros a las direcciones formadas con esa
lista de nombres y su propio dominio (siempre que no existan usuarios con alguno
de esos nombres en su servidor). Ejemplos:
[email protected] REJECT
[email protected] REJECT
etc...
Del 1 de febrero de 2004 al 14 de febrero de 2006, el gusano intenta ataques de
denegación de servicio (DoS), alternativamente a uno u otro de los siguientes
sitios:
www.microsoft.com
www.riaa.com
Estos ataques consisten en el envío de ráfagas de solicitudes GET HTTP.
Luego del 14 de febrero de 2006, el gusano finaliza su rutina de ataque, y deja
de propagarse, pero su acceso backdoor, continuará abierto.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el
ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro
troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente
cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades
de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión
de un virus).
|