W32.Mydoom.A@mm

O W32.Mydoom.A@mm (também conhecido como W32.Novarg.A@mm) é um worm de distribução em massa. O worm é recebido através de um arquivo de extensão .bat, .cmd, .exe, .pif, .scr ou .zip.

Quando o computador é infectado, o worm instala no sistema um backdoor, através da abertura das portas TCP 3127 até 3198. Isto permite que um hacker conecte-se ao computador e use o proxy para obter acesso aos recursos da rede.

Além disso, o backdoor possui a capacidade de fazer o download e executar arquivos aleatoriamente.

Existe 25% de chance do computador infectado pelo worm executar um ataque de Negação de Serviço (Denial of Service - DoS) a partir de 1° de fevereiro de 2004, iniciando às 16:09:18 UTC (14:09:18 horário de Brasília) baseado na data e hora locais. Se o worm iniciar o ataque DoS, ele não se propagará através de e-mail. Embora a atividade do worm seja interrompida em 12 de fevereiro de 2004, o backdoor instalado por ele continuará a funcionar após esta data.

---

Notas:

• Os produtos Symantec para usuários domésticos que possuem o recurso Bloqueio de worm detectam esta ameaça automaticamente assim que a mesma tenta se propagar.
• O Symantec Security Response desenvolveu uma ferramenta de remoção para limpar infecções do W32.Mydoom.A@mm
• As definições de vírus anteriores a 4 de fevereiro de 2004 detectarão esta ameaça como W32.Novarg.A@mm.

---

Quando o W32.Mydoom.A@mm envia e-mails, ele evita distribuí-los aos domínios que contenham uma das sequências de caracteres abaixo:

• avp
• syma
• icrosof
• msn.
• hotmail
• panda
• sopho
• borlan
• inpris
• example
• mydomai
• nodomai
• ruslis
• .gov
• gov.
• .mil
• foo.
• berkeley
• unix
• math
• bsd
• mit.e
• gnu
• fsf.
• ibm.com
• google
• kernel
• linux
• fido
• usenet
• iana
• ietf
• rfc-ed
• sendmail
• arin.
• ripe.
• isi.e
• isc.o
• secur
• acketst
• pgp
• tanford.e
• utgers.ed
• mozilla
  
  
  contas que contenham qualquer uma das sequências a seguir:

• root
• info
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• your
• you
• me
• bugs
• rating
• site
• contact
• soft
• no
• somebody
• privacy
• service
• help
• not
• submit
• feste
• ca
• gold-certs
• the.bat
• page
  
  
  ou as sequências a seguir:

• admin
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• certific
• google
• accoun

O worm também insere qualquer um dos seguintes nomes ao nome de domínio obtido:

• adam
• alex
• alice
• andrew
• anna
• bill
• bob
• brenda
• brent
• brian
• claudia
• dan
• dave
• david
• debby
• fred
• george
• helen
• jack
• james
• jane
• jerry
• jim
• jimmy
• joe
• john
• jose
• julie
• kevin
• leo
• linda
• maria
• mary
• matt
• michael
• mike
• peter
• ray
• robert
• sam
• sandra
• serg
• smith
• stan
• steve
• ted
• tom
• accoun