Win32/Mydoom.AW, se envía masivamente por correo electronico

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Win32/Mydoom.AW, se envía masivamente por correo electronico

Compartir

Nombre: Win32/Mydoom.AW
Aliases: Mydoom.AW, Email-Worm.Win32.Mydoom.m, Mydoom.AU, MyDoom.BB, MyDoom.M, [email protected], [email protected], W32/Downloader, W32/[email protected], W32/[email protected], W32/[email protected], W32/MyDoom-O, Win32.Mydoom.AU, Win32/Mydoom.AU!Worm, Win32/Mydoom.AW, WORM_MYDOOM.BB, WORM_MYDOOM.M, W32/Mydoom.AW
tipo: Gusano de Internet
fecha: 16/02/2005
gravedad general: Media
distribución: Alta
daño: Medio
tamaño: 25,771 Bytes
destructivo: Si
origen: Desconocido

INFORMACION
Detectada desde el 16 de febrero de 2005, esta variante del Mydoom (similar a Mydoom.R), está comprimida con MEW y se envía masivamente por correo electrónico utilizando su propio motor SMTP. El remitente es siempre falso.



CARACTERISTICAS
Existe una posible infección cuando está presente alguno de los siguientes archivos en el sistema:


*c:\windows\java.exe
*c:\windows\services.exe


Análisis:


El gusano es un archivo de 25,771 bytes.


Puede llegar en un mensaje como el siguiente:


Asunto: [uno de los siguientes]


*- click me baby, one more time
*- delivery failed
*- Delivery reports about your e-mail
*- error
*- hello
*- hi error
*- Mail System Error - Returned Mail
*- Message could not be delivered
*- report
*- Returned mail: Data format error
*- Returned mail: see transcript for details
*- say helo to my litl friend
*- status
*- test
*- The original message was included as attachment
*- The/Your m/Message could not be delivered


Texto del mensaje:


El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano:


Ejemplo 1:


*Dear user of [dominio],


*We have received reports that your account was used to
*send a large amount of unsolicited e-mail messages
*during the last week.


*Obviously, your computer had been compromised by a
*recent virus and now contains a trojaned proxy server.
*We recommend you to follow our instructions in the
*attachment file in order to keep your computer safe.


*Have a nice day,
*[dominio] support team.


Ejemplo 2:


*The message was undeliverable due to the following
*reasons:


*Your message could not be delivered because the
*destination server was unreachable within the allowed
*queue period. The amount of time a message is queued
*before it is returned depends on local configura-tion
*parameters. Most likely there is a network problem that
*prevented delivery, but it is also possible that the
*computer is turned off, or does not have a mail system
*running right now.


Ejemplo 3:


*Your message could not be delivered within [número al *azar] days:
*Host [servidor] is not responding.
*The following recipients could not receive this
*message:
*<[dirección]>
*Please reply to [email protected][dominio] if you feel this
*message to be in error.
*The original message was received at [hora] from
*[dominio]
*----- The following addresses had permanent fatal
*errors -----
*<[dirección]>
*----- Transcript of session follows -----
*... while talking to host [dominio]:
*>>> MAIL From:[dirección]
*<<< 50$d Refused unknown 554 <[dirección]>... Mail
*quota exceeded
*554 <[dirección]>... Service unavailable
*Session aborted, reason: lost connection
*<<< 550 MAILBOX NOT FOUND User unknown
*The original message was included as attachment


Ejemplo 4:


*Your message could not be delivered


Datos adjuntos: [nombre]+[extensión]


Donde [extensión] es una de las siguientes:


*.bat
*.cmd
*.com
*.exe
*.pif
*.scr
*.zip


Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras:


*attachment
*document
*file
*instruction
*letter
*mail
*message
*readme
*text
*transcript
Ejemplos: Si la dirección es "[email protected]" el adjunto puede ser alguno de los siguientes:


*- [email protected]
*- micorreo.com
*- [email protected]


Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:


*c:\windows\java.exe
*c:\windows\services.exe


De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").


Modifica o crea las siguientes entradas en el registro:


*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*JavaVM = c:\windows\java.exe
*Services = c:\windows\services.exe


*HKCU\Software\Microsoft\Daemon
*HKLM\SOFTWARE\Microsoft\Daemon


Acciones:


El gusano busca direcciones de correo en la máquina infectada y se envía en forma masiva a todas ellas, utilizando su propio motor SMTP (Simple Mail Transfer Protocol), por lo que no depende del cliente de correo instalado.


Las direcciones del remitente son siempre falsas, de modo que los mensajes pueden parecer ser enviados por cualquier persona, que ni siquiera podría estar infectada.


Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado:


*.adb
*.asp
*.dbx
*.ht*
*.ph*
*.pl*
*.sht*
*.tbb
*.tx*
*.wab


Esto incluye las bases de mensajes del Outlook y la libreta de direcciones.


Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones.


El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso:


*www.google.com (lo usa un 45% de las veces)
*search.lycos.com (lo usa un 22.5%)
*search.yahoo.com (lo usa un 20%)
*www.altavista.com (lo usa un 12.5%)


También intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos:


*userprofile
*yahoo.com


El componente SERVICES.EXE, es un troyano que actúa como un servidor de puerta trasera (backdoor), el cuál permite el acceso remoto a usuarios no autorizados, comprometiendo la seguridad de la computadora infectada.


Una vez en memoria, intenta conectarse con otros sistemas infectados, probando direcciones al azar por el puerto 1034.



INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

4. Elimine bajo la columna "Nombre", las entradas "JavaVM" y "Services", en la siguiente clave del registro:


*HKLM\SOFTWARE\Microsoft
*\Windows\CurrentVersion\Run


5. Elimine la carpeta "Daemon" en las siguientes claves del registro:


*HKEY_CURRENT_USER\Software\Microsoft\Daemon
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon


6. Cierre el editor del registro.


7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 18-Feb-2005, a las 05:30 Vistas: 613
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
correo, electrónico, envia, masivamente, win32 virus


Temas Similares
» Mydoom.BQ. Se propaga por correo electrónico y KaZaa 0
» TrojanClicker.Bomka. Instala rootkit, envía correo 0
» TrojanClicker.Bomka.G. Instala rootkit, envía correo 0
» Mydoom.BN. Se propaga por correo electrónico y KaZaa 0
» Sober.R. Envía correo masivo en inglés o alemán 0
» WIN32/MYDOOM.BC 0
» VIRUS:  WIN32/MYDOOM.AZ 0
» VIRUS:  WIN32/MYDOOM.BA 0
» VIRUS:  WIN32/MYDOOM.AY 0
» Virus : WIN32/MYDOOM.R 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 05:51.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4