Bem-VindoCorporaçõesPequenas EmpresasUsuários DomésticosParceirosSobre a Symantec
security response

W32.Mydoom.M@mm

Categoria 3
Data da tdescoberta: 26/07/2004
Data da última atualização: 27/07/2004

O W32.Mydoom.M@mm é um worm de distribuição em massa que deposita e executa um backdoor, detectado como Backdoor.Zincite.A, o qual monitora a porta TCP 1034. Este worm também utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo aos endereços encontrados no sistema infectado.

O e-mail contém um endereço inventado no campo De, e o assunto e corpo da mensagem variam. O nome do anexo também é variável.

Nota: Os produtos domésticos da Symantec que possuem o recurso Bloqueio de worms automaticamente detectam e impedem que esta ameaça se propague.

O W32.Mydoom.M@mm é compactado com UPX.

Também conhecido como: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend], Win32.Mydoom.O [Computer Associates]
Tipo: Worm
Tamanho da infecção: varies
Sistemas afetados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Sistemas não afetados: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX

proteção
  • Definições de vírus (Intelligent Updater) *
  • 26/07/2004

  • Definições de vírus (LiveUpdate™) **
  • 26/07/2004

    *

    As definições de vírus do Intelligent Updater são liberadas diariamente, mas exigem download e instalação manuais.
    Clique aqui para efetuar o download.

    **

    As definições de vírus do LiveUpdate em geral são liberadas todas as quartas-feiras.
    Clique aqui para obter instruções sobre a utilização do LiveUpdate.

    avaliação da ameaça

    Propagação

    Estatísticas da ameaça

    Alto Médio Alto

    Propagação:
    Alto

    Dano:
    Médio

    Distribuição:
    Alto

    Dano

    Distribuição

    detalhes técnicos

    Quando o W32.Mydoom.M@mm é ativado, ele executa as seguintes ações:

    1. Cria as seguintes chaves no registro, as quais indicam que o computador está infectado:
      • HKEY_LOCAL_MACHINE\Software\Daemon
      • HKEY_CURRENT_USER\Software\Daemon
    2. Cria uma cópia de si mesmo como %Windir%\java.exe

      Nota: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão, C:\Windows ou C:\Winnt) e faz uma cópia de si mesmo nesse local.

    3. Deposita e exevuta o arquivo %Windir%\services.exe, detectado como Backdoor.Zincite.A. Quando executado, este arquivo abre a porta TCP 1034 e monitora conexões remotas. O backdoor também irá utilizar endereços IP aleatórios através da porta 1034 em busca de outros hosts infectados.
    4. Adiciona os valores:

      "Services" = "%Windir%\services.exe"
      "JavaVM" = "%Windir%\java.exe"


      à chave de registro:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      para que o worm seja carregado na inicialização do Windows.

    5. Pode criar os arquivos abaixo, para fins de registro:
      • %Temp%\zincite.log
      • %Temp%\[arquivo de nome aleatório].log

    6. Obtém endereços de e-mail de arquivos das seguintes extensões:
      • .adb
      • .asp
      • .dbx
      • .ht*
      • .php
      • .pl
      • .sht
      • .tbb
      • .tx*
      • .wab

    7. Utiliza os mecanismos de busca listados abaixo para obter outros endereços de e-mail para possível propagação:

      • search.yahoo.com
      • search.lycos.com
      • www.altavista.com
      • www.google.com


    8. Ao encontrar uma janela ativa do Outlook, o worm tentará enviar cópias de si mesmo para todos os endereços encontrados.

      O e-mail possui as seguintes características:

      De: o endereço inserido no campo De pode ser inventado.

      Assunto: um dos seguintes:
      • say helo to my litl friend
      • click me baby, one more time
      • hello
      • error
      • status
      • test
      • report
      • delivery failed
      • Message could not be delivered
      • Mail System Error - Returned Mail
      • Delivery reports about your e-mail
      • Returned mail: see transcript for details
      • Returned mail: Data format error

        Corpo da mensagem:
        O conteúdo do corpo da mensagem irá variar, e será baseado em algumas opções de texto. Uma das frases ou palavras entre chaves, separadas por "|", serão usadas:
      • Dear user {<recipient's email address>|of <recipient's email domain>},{ {{M|m}ail {system|server} administrator|administration} of <recipient's email domain> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
        {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
        {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
        {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
        {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
        {<recipient's email domain> {user |technical |}support team.|The <recipient's email domain> {support |}team.}

      • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
        Your message {was not|could not be} delivered because the destination {computer|server} was
        {not |un}reachable within the allowed queue period. The amount of time
        a message is queued before it is returned depends on local configura-
        tion parameters.
        Most likely there is a network problem that prevented delivery, but
        it is also possible that the computer is turned off, or does not
        have a mail system running right now.

      • Your message {was not|could not be} delivered within <random number> days:
        {{{Mail s|S}erver}|Host} <host used to send the email>} is not responding.
        The following recipients {did|could} not receive this message:
        <<recipient's email address>>
        Please reply to postmaster@{<sender's email domain>|<recipient's email domain>}
        if you feel this message to be in error.
        The original message was received at [current time]{
        | }from {<sender's email domain> ]|{<host used to send the email>]|]}}
        ----- The following addresses had permanent fatal errors -----
        {<<recipient's email address>>|<recipient's email address>}
        {----- Transcript of {the ||}session follows -----
        ... while talking to {host |{mail |}server ||||}{<recipient's email domain>.|<host used to send the email>]}:
        {>>> MAIL F{rom|ROM}:[From address of mail]
        <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<recipient's email address>>... {Mail quota exceeded|Message is too
        large}
        554 <<recipient's email address>>... Service unavailable|550 5.1.2 <<recipient's email address>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
        Session aborted{, reason: lost connection|}|>>> RCPT To:<<recipient's email address>>
        <<< 550 {MAILBOX NOT FOUND|5.1.1 <<recipient's email address>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
        {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
        |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
        |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
        |}<<< 400}|}
        The original message was included as attachment

      • {{The|Your} m|M}essage could not be delivered

        Notas:
      • <recipient's email address> é o endereço de e-mail da pessoa que receberá a mensagem.
      • <recipient's email domain> é o domínio (parte do endereço situada após o sinal @) do endereço de e-mail da pessoa que receberá a mensagem.
      • <sender's email domain> é o domínio (parte do endereço situada após o sinal @) do rementente do e-mail.
      • <host used to send the email> é o nome do servidor de e-mail usado no computador infectado. O worm obtém esta informação no registro do computador infectado.


        Anexo: O worm pode gerar um nome de anexo a partir do nome do domínio dos endereços de e-mail obtidos no sistema infectado. O nome do anexo também pode ser um dos seguintes:
      • readme
      • instruction
      • transcript
      • mail
      • letter
      • file
      • text
      • attachment
      • document
      • message

        com uma das extensões abaixo:
      • cmd
      • bat
      • com
      • exe
      • pif
      • scr
      • zip

        O anexo poderá ter uma segunda extensão, que será uma das seguintes:
      • doc
      • txt
      • htm
      • html

        Notas:
      • Em aproximadamente 30% das vezes o anexo será um arquivo .zip. Nesses casos, o arquivo poderá ser compactado diversas vezes em seguida.
      • Em vez de enviar uma cópia de si mesmo, em 15% das vezes o worm anexa um pequeno arquivo inválido à mensagem.


        O worm não irá enviar cópias de si mesmo aos endereços que contenham as seguintes sequências:
      • mailer-d
      • spam
      • abuse
      • master
      • sample
      • accou
      • privacycertific
      • bugs
      • listserv
      • submit
      • ntivi
      • support
      • admin
      • page
      • the.bat
      • gold-certs
      • feste
      • not
      • help
      • foo
      • soft
      • site
      • rating
      • you
      • your
      • someone
      • anyone
      • nothing
      • nobody
      • noone
      • info
      • winrar
      • winzip
      • rarsoft
      • sf.net
      • sourceforge
      • ripe.
      • arin.
      • google
      • gnu.
      • gmail
      • seclist
      • secur
      • bar.
      • foo.com
      • trend
      • update
      • uslis
      • domain
      • example
      • sophos
      • yahoo
      • spersk
      • panda
      • hotmail
      • msn.
      • msdn.
      • microsoft
      • sarc.
      • syma
      • avp

    Symantec Gateway Security 2.0 Series
    Symantec Gateway Security 1.0 Series
    • Componente antivírus: Uma atualização para o mecanismo Symantec Gateway Security AntiVirus para proteger contra o W32.Mydoom.M@mm está disponível. Recomendamos aos usuários do Symantec Gateway Security Série 5000 que executem o LiveUpdate.
    • Componente de aplicativo de firewall de inspeção completa: Por padrão, essa tecnologia protege contra o W32.Mydoom.M@mm evitando que invasores acessem a porta TCP 1034 dos computadores infectados. Recomendamos veementemente aos administradores que verifiquem se suas politicas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 1034.
    • Quando configurado através do Assistente de Políticas, a regra SMTP criada no gateway de segurança irá impedir que os sistemas infectados enviem mensagens diretamente para a Internet.
    • IDS/IPS
    • Devido ao método de propagação deste worm, o qual não inclui técnicas de propagação em rede ou a exploração de vulnerabilidades de rede, não será disponibilizada uma atualização neste momento. Entretanto, a Symantec está continuamente monitorando esta ameaça para oferecer proteção aos ataques mais recentes.

    Symantec Enterprise Firewall 8.0
    Por padrão, essa tecnologia protege contra o W32.Mydoom.M@mm evitando que invasores acessem a porta TCP 1034 dos computadores infectados. Recomendamos veementemente aos administradores que verifiquem se suas politicas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 1034.

    Quando configurado através do Assistente de Políticas, a regra SMTP criada no gateway de segurança irá impedir que os sistemas infectados enviem mensagens diretamente para a Internet.

    Symantec Enterprise Firewall 7.0x
    Symantec VelociRaptor 1.5
    Por padrão, essa tecnologia protege contra o W32.Mydoom.M@mm evitando que invasores acessem a porta TCP 1034 dos computadores infectados. Recomendamos veementemente aos administradores que verifiquem se suas politicas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 1034.

    Quando configurado através do Assistente de Políticas, a regra SMTP criada no gateway de segurança irá impedir que os sistemas infectados enviem mensagens diretamente para a Internet.

    Symantec Clientless VPN Gateway Série 4400
    O Symantec Clientless VPN Gateway v5.0 não é afetado por esta ameaça. Para reduzir o risco de futura propagação você também deve incluir uma regra que permita que somente usuários remotos autenticados acessem seu servidor interno de e-mail.

    Symantec Gateway Security Série 300
    Por padrão, a tecnologia de inspeção de firewall evita que um invasor acesse o backdoor na porta TCP 1034 nos sistemas infectados. Recomendamos veementemente aos administradores que verifiquem se suas políticas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 1034 e a utilizar o recurso AVpe do SGS Série 300 para certificar-se de que os clientes do AV estão com suas definições de vírus atualizadas.

    Symantec Firewall/VPN Séries 100/200
    Por padrão, a tecnologia de inspeção de firewall evita que um invasor acesse o backdoor na porta TCP 1034 nos sistemas infectados. Recomendamos veementemente aos administradores que verifiquem se suas politicas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 1034.

    Symantec AntiVirus Corporate Edition
    O Symantec AntiVirus Corporate Edition irá detectar esta ameaça e enviá-la para a quarentena antes que o arquivo infectado seja executado.

    Symantec Client Security
    O Symantec Client Security, que possui antivírus integrado e recursos de firewall e detecção de intrusão, irá detectar esta ameaça e enviá-la para quarentena antes que o arquivo infectado seja executado. Um alerta será exibido, permitindo a seleção de bloqueio e de permissão do tráfego através desta porta. A ação padrão é bloquear.

    Symantec ManHunt
    Devido ao método de propagação deste worm, o qual não inclui técnicas de propagação em rede ou a exploração de vulnerabilidades de rede, não será disponibilizada uma atualização neste momento. Entretanto, a Symantec está continuamente monitorando esta ameaça para oferecer proteção aos ataques mais recentes.

    Serviços de segurança gerenciados
    O Symantec MSS está ativamente trabalhando com os clientes para reduzir o impacto desta variante do Mydoom. O Symantec MSS é capaz de avaliar o registro analítico de seu firewall para identificar sistemas comprometidos, ainda que assinaturas de IDS não existam para esta variante até este momento. O Symantec MSS informou sua base de clientes global através de publicações em seu portal na Web e está ativamente envolvido com os clientes para minimizar um possível impacto. Neste momento, o Symantec MSS tem limitado o impacto ao cliente para este worm de distribuição em massa. A medida em que os revendedores disponibilizem assinaturas de IDS, a Symantec irá distribuí-las em caráter de emergência, para garantir o mais alto nível de detecção e proteção contra esta ameaça.

    Symantec Mail Security 4.0 for SMTP
    Symantec Mail Security 4.0 for Domino
    Symantec Mail Security 4.5 for Exchange
    A funcionalidade Mass-Mailer Cleanup melhora o gerenciamento de propagações em massa de vírus através da exclusão de mensagens enviadas em massa infectadas e seus anexos. Não são executadas heurísticas anti-spam ou filtragem de conteúdo nas mensagens enviadas em massa, o que libera recursos nos sistemas necessários durante as propagações em massa de vírus.

    recomendações

    O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:

    instruções de remoção

    Remoção usando a Ferramenta de Remoção do W32.Mydoom.M@mm
    O Symantec Security Response criou uma ferramenta para remover o W32.Mydoom.M@mm. Esta é a maneira mais fácil de se remover esta ameaça.

    Remoção manual
    Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

    Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.
    1. Desative a Restauração do sistema (Windows Me/XP).
    2. Atualize as definições de vírus.
    3. Reinicie o computador em Modo de segurança ou em modo VGA.
    4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Mydoom.M@mm.
    5. Exclua o valor adicionado ao registro.
    6. Reverta as alterações feitas no registro.
    Para maiores detalhes sobre como fazer isto, consulte as seguintes instruções.

    1. Desativando a Restauração do sistema (Windows Me/XP)
    Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de tróia é possível que arquivos infectados sejam recuperados pela Restauração do sistema.

    Por padrão, o Windows previne que os arquivos criados e mantidos pela Restauração do sistema sejam alterados por programas externos, inclusive programas antivírus. Dessa forma, arquivos criados por este recurso que tenha sido infectados não poderão ser corrigidos. Assim, ao usar este recurso mais tarde, é possível que você restaure em seu sistema um arquivo infectado ou que verificadores online detectem uma ameaça naquele lugar.

    Para instruções sobre como desativar a Restauração do sistema, consulte a seção referente ao seu sistema operacional:

    Desativando o recurso de restauração do Windows Me
    1. Clique em Iniciar > Configurações > Painel de controle.
    2. Clique duas vezes em Sistema. A caixa de diálogo de Propriedades de Sistema é exibida.

      Nota: Se o ícone de Sistema não for visível, clique em Exibir todas as opções do Painel de Controle.
    3. Clique na guia Desempenho > Sistema de arquivos.
    4. Clique e na guia Solução de problemas e marque Desativar restauração do sistema.
    5. Clique em OK e em Fechar.
    6. Clique em Sim quando for solicitado a reinicializar o Windows.


    Desativando o recurso de restauração do sistema no Windows XP

    Notas:
    • Você deve conectar-se como Administrador para fazer isso. Se não for conectado como administrador, a guia do recurso de restauração não será exibida. Se não souber como se conectar como administrador, entre em contato com o Administrador de Sistemas (se estiver em rede) ou consulte a documentação do seu sistema operacional.
    • A desativação do recurso de restauração eliminará todos os pontos prévios de restauração.


    1. Clique em Iniciar > Programas > Acessórios > Windows Explorer.
    2. Clique com o botão direito em Meu computador e, em seguida, clique em Propriedades.
    3. Clique na guia Restauração do sistema.
    4. Marque Desativar restauração do sistema ou Desativar restauração do sistema em todas as unidades.
    5. Clique em Aplicar e em OK.
    6. Clique em Sim na mensagem que informa que os pontos prévios de restauração serão eliminados.
    7. Clique em OK.


    Se desejar obter instruções detalhadas sobre como configurar a Restauração do sistema, consulte um dos documentos abaixo:

    Para informações adicionais e como alternativa a desativar a Restauração do sistema, consulte o artigo Q263455, em inglês, da base de dados da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder).


    2. Atualizando as definições de vírus
    O Symantec Security Response efetua testes completos em todas as definições de vírus para garantir sua qualidade antes das mesmas serem disponibilizadas em nossos servidores. Existem duas formas de se obter as definições de vírus mais recentes:
    • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento.
    • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postadas nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

    Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.

    3. Reiniciando o computador em Modo de Segurança ou em Modo VGA
    • Para Windows 95, 98, Me, 2000, ou XP, reinicie o computador em Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o computador em modo de segurança.
    • Para Windows NT 4, reinicie o computador no Modo VGA.

    4. Executando uma verificação completa no sistema
    1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se houver arquivos infectados pelo W32.Mydoom.M@mm, clique em Excluir.


    5. Removendo as alterações feitas no registro

    AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.

    1. Clique em Iniciar > Executar.
    2. Na caixa de diálogo Executar, digite regedit
    3. Clique em OK.
    4. No painel esquerdo da janela do Editor do Registro, navegue até a chave:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    5. No painel direito, exclua o valor:

      "Services" = "%Windir%\services.exe"
      "JavaVM" = "%Windir%\java.exe"


    6. Saia do Editor do Registro.

    7. Reinicie o computador.

    Relatório feito por: John Canavan & Rodney Andres