| W32/Mydoom.F@MM |
|
| Nombre: |
W32/Mydoom.F@MM Alias: W32/Mydoom.f@MM, W32/Mydoom.F.worm |
| Tipo: | Gusano |
| Tamaño: | 34,568 bytes |
| Origen: | Internet |
| Destructivo: | SI (realiza ataques DoS) |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 5.6, Registro de Virus al 20/02/2004 |
Descripción
W32/MyDoom.F@MM es un gusano que se propaga vía E-mail en un adjunto con extensión .BAT, .CMD, .COM, .EXE, .PIF, .SCR o .ZIP. Busca direcciones de email en la libreta de direcciones de Windows y en archivos con las siguientes extensiones: ADB, ASP, DBX, EML, HTM, MBX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, RTF, SHT, TBB, TXT, UIN, VBS y WAB, para luego enviarse a estas utilizando su propio motor SMTP.
Características del mensaje de E-mail:
De: Dirección de E-mail falsa
Asunto: {Al azar entre: }
Cuerpo: {Al azar entre: }
Archivo Adjunto:
El nombre puede ser:
- {caracteres al azar}
- paypal
- creditcard
- website
- textfile
- photo
- part1
- notes
- mail
- vpf
- details
- document
La extensión puede ser .cmd, .exe, .pif,
.com, .scr o .zip
-------------------------------
Activación:
Si se abre el archivo adjunto el gusano:
- Se copia como "[nombre aleatorio].EXE"
y "[nombre aleatorio].DLL"
en la carpeta %System%
Crea las siguientes entradas en el registro para ejecutar el gusano en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"nhch"="%System%/[nombre
aleatorio].exe"
También realiza varias copias de si mismo como archivos .zip o .exe en diferentes carpetas del disco duro local y unidades mapeadas, los archivos copiados tienen nombres aleatorios.
Daño causado:
- Borra todos los archivos que tengan algunas de las siguientes extensiones: AVI, BMP, DOC, JPG, MDB, SAV y XLS.
- Finaliza todos los procesos activos que tengan los siguientes nombres:
- Inicia ataques de denegación de servicio (DOS)
contra los siguientes sitios web, www.microsoft.com y www.riaa.com
Derechos reservados 1992/2004 HackSoft S.R.L. Lima-Perú