I-Worm.Mydoom (Novarg)

I-Worm.Mydoom (Novarg)« Volver al listado de Virus

Kaspersky Labs, líder en software de seguridad informática, alerta sobre el nuevo virus I-Worm. Mydoom (Novarg), un nuevo gusano de Internet detectado en la red. El virus se propaga vía correo electrónico con un adjunto de nombre aleatorio terminado ZIP, BAT, CMD, EXE, PIF o SCR.

Mydoom es un gusano que se propaga via correo electrónico y la red de Kazaa. Cuando se ejecuta el virus abre una ventana del Notepad (Bloc de notas) con caracteres que no significan nada. En los correos electrónicos utiliza asuntos, mensajes y adjuntos diferentes. Tambien ataca SCO.COM con un ataque DdoS. El atauqe empieza el 1 de Febrero.

El gusano abre una puerta trasera, esto es realizado implantando un nuevo archivo SHIMGAPI.DLL en el directorio system32, y lo lanza como un proceso heredado de EXPLORER.

Mydoom está programado para detener su propagación el 12 de Febrero.

Este gusano encripta la mayoria de las cadenas en su fichero empaquetado UPX con el método ROT13 method, por ejemplo, los caracteres son rotados 13 posiciones a la derecha en el abecedario, empezando por el principio si la posición es posterior a la última letra.

El virus se copia en el directorio System de Windows como 'taskmon.exe' y añade una entrada en el registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMon" = %sysdir%\taskmon.exe

o, si falla:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMon" = %sysdir%\taskmon.exe

De esta forma se ejecuta a cada inicio de Windows.

Tambien copia otro archivo, con su contenido codificado en el cuerpo del mensaje y empaquetado con UPX: %sysdir%\shimgapi.dll Este archivo abre secuencialmente puertos TCP desde el 3127 al 3198, escuchandolos para posibles conexiones. Una de las posibilidades que ofrece esta puerta trasera es el poder recibir un ejecutable adicional y ejecutarlo en el ordenador ya infectado.

Propagación vía red P2P

Propagación vía red P2P El gusano comprueba el registro de Windows buscando los valores de las carpetas compartidas en Kazaa, copiandose en esta capeta con un nobre entre estos: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 Y una extensión entre: .bat .exe .scr .pif

Mailing masivo.

El virus busca direcciones en la libreta de direcciones de Windows para reenviarse con archivos de extensión:
pl
adb
tbb
dbx
asp
php
sht
htm
txt

Trata de evitar los anti-spam más básicos, por ejemplo, cambiando la @ por 'at' y otras combinaciones.
Los correos electrónicos enviados por el gusano tiene las siguientes características:

El Asunto puede ser uno entre los siguientes:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

El cuerpo del mensaje será uno de éstos:

test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Mail transaction failed. Partial message is available. Los adjunto se componen combinando los siguientes nombres:

document
readme
doc
text
file
data
test
message
body

con extensiones:
pif
scr
exe
cmd
bat

El mensaje final será parecido a este:

Carga en el sistema

Cuando el ordenador se inicie el 1 de Febrero o después, el gusano irá a la página principal de SCO.COM practicamente casa segundo (cada 1024 milisegundos) desde cada uno de los ordenadores infectados en todo el mundo. La petición es un simple "GET / HTTP/1.1", hecho para saturar el servidor web.

Desinfección:

La protección contra el I-Worm.Mydoom (Novarg) ya se añadió a las bases de virus de Kaspersky Antivirus.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.