W32/Mydoom@MM
Imprimir descripción de Virus
Nombre: W32/Mydoom@MM
Alias: W32.Novarg.A, W32/Mimail.R, Win32/Shimg
Tipo: Gusano
Tamaño: 22,528 bytes
Origen: Internet
Destructivo: SI (Ataque D.O.S)
En la calle  (in the wild): SI
Detección y Eliminación

The Hacker 5.6, Registro de Virus al v00072 (26/01/2004,18:03:50)

Descripción

W32/MyDoom@MM es un gusano de 22 Kb que se propaga vía E-mail en un adjunto con extensión CMD, EXE, PIF, SCR o ZIP.

Características del mensaje de E-mail:

De: Dirección de E-mail falsa

Asunto: {Al azar entre: }

- Mail Transaction Failed
- Mail Delivery System
- hi
- Error
- Server Report
- Status
- hello

Cuerpo: {Al azar entre: }

 - Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Archivo Adjunto:

El nombre puede ser:
- {caracteres al azar}
- document
- readme
- doc
- text
- file
- data
- test
- message
- body

La extensión puede ser .cmd, .exe, .pif, .scr o .zip
-------------------------------

Activación:

Si se abre el archivo adjunto el gusano:

- Se copia como "TASKMON.EXE" y "SHIMGAPI.DLL" en la carpeta %System%
- Crea el archivo "MESSAGE" en la carpeta %temp% con caracteres al azar y abre este archivo con el bloc de notas

Crea las siguientes entradas en el registro para ejecutar el gusano en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
"taskmon"="%System%/Taskmon"

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"taskmon"="%System%/Taskmon"

Propagación en Kazaa:

Se copia en la carpeta del Kazaa que se utiliza para compartir archivos como:

- winamp5
- icq2004-final
- activation_crack
- strip-girl-2.0bdcom_patches
- rootkitXP
- office_crack
- nuke2004

La extensión puede ser .pif, .scr o .bat

Módulo Backdoor o Puerta trasera:

El gusano actúa como un backdoor a través del archivo "SHIMGAPI.DLL", escucha en el puerto 3127 esperando comandos de su autor.

Para que el archivo .DLL trabaje se pega al proceso Explorer.exe y crea la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
{Predeterminado} = "%System%\shimgapi.dll"

Daño causado:

Se activa entre el 1 y 12 de Febrero lanzado un ataque de denegación de servicio (DOS) al dominio sco.com

Detección y Eliminación:

Detección y eliminación de este gusano está disponible en The Hacker 5.6 registro v00072 emitido el 26/01/2003, 18:06

Nota:
- %temp% representa la carpeta temporal de Windows (Ej: c:\windows\temp)
- %System% representa la carpeta System dentro de Windows (Ej: C:\Windows\system, \Winnt, \Windows\System32)

Derechos reservados 1992/2004 HackSoft S.R.L. Lima-Perú