Detectado: July 26, 2004
Actualizado: February 13, 2007 12:27:33 PM
También conocido como: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
Tipo: Worm
Longitud de la infección: varios
Sistemas afectados: Windows


W32.Mydoom.M@mm es un gusano de envío masivo de correos electrónicos y ejecuta un backdoor , que es detectado como Backdoor.Zincite.A , el cual escucha en el puerto TCP 1034. El gusano utiliza su propio motor SMTP para enviarse así mismo a todas las direcciones de correo que encuentra en los equipos infectados.

El mensaje muestra una dirección falsa del remitente De: y el asunto, el cuerpo del mensaje serán diferentes. El nombre del archivo adjunto también varia.



Nota:
Los productos Symantec para usuario doméstico que manejan la funcionalidad Worm Blocking (Bloqueo de gusanos) detectan esta amenaza de manera automática.
Debido a la disminución en el número de envío de esta amenaza Symantec Security Response disminuyó el nivel de categoría de este gusano de 3 a 2, a partir del 27 de octubre del 2004.
Symantec Security Response ha desarrollado una herramienta para limpiar las infecciones causadas por W32.Mydoom.M@mm.


W32.Mydoom.M@mm es comprimido con UPX.

Fechas de protección antivirus

  • Versión inicial de Rapid Release July 26, 2004
  • Última versión de Rapid Release May 14, 2018 revisión 016
  • Versión inicial de Daily Certified July 26, 2004
  • Última versión de Daily Certified May 13, 2018 revisión 022
  • Fecha de lanzamiento inicial de Weekly Certified July 26, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Artículo de: John Canavan

Detectado: July 26, 2004
Actualizado: February 13, 2007 12:27:33 PM
También conocido como: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
Tipo: Worm
Longitud de la infección: varios
Sistemas afectados: Windows


Cuando W32.Mydoom.M@mm se ejecuta, realiza lo siguiente:

  1. Crea las siguientes claves de registro, las cuales identifican el equipo como infectado:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
    • HKEY_CURRENT_USER\Software\Microsoft\Daemon

  2. Se copia así mismo como:
    • %Windir%\java.exe


      Notas: %Windir% es una variable. El gusano busca la carpeta de Sistema de Windows y se copia así mismo en dicha localidad. Por defecto, esta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).


  3. Copia y ejecuta %Windir%\services.exe, el cual se detecta como Backdoor.Zincite.A. Al ejecutarse este archivo abre el puerto TCP 1034 y escucha posibles conexiones remotas. El backdoor también probará con direcciones IP aleatorias en el puerto 1034 en busca de otros equipos infectados.
  4. Agrega los valores:

    "Services" = "%Windir%\services.exe"
    "JavaVM" = "%Windir%\java.exe"

    a las claves de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    de este forma el gusano se ejecuta cada que inicia Windows.

  5. Puede crear los siguientes archivos para iniciar alguna sesión en Windows:
    • %Temp%\zincite.log
    • %Temp%\[nombre de archivo aleatorio].log

  6. Colecta las direcciones de correo de los archivos con las siguientes extensiones:
    • ..adb
    • .asp
    • .dbx
    • .ht*
    • .php
    • .pl
    • .sht
    • .tbb
    • .tx*
    • .wab

  7. Ejecuta los siguientes motores de búsqueda para recolectar más direcciones de correo, para posibles distribuciones:
    • search.lycos.com
    • search.yahoo.com
    • www.altavista.com
    • www.google.com

  8. Cuando el gusano encuentra una ventana abierta de Outlook, tratará de enviarse a sí mismo a las direcciones de correo encontradas.

    El mensaje de correo electrónica tiene las siguientes características::

    De:
    Esta dirección es falsificada.

    Asunto: (Uno de los siguientes)
    • hello
    • error
    • status
    • test
    • report
    • delivery failed
    • Message could not be delivered
    • Mail System Error - Returned Mail
    • Delivery reports about your e-mail
    • Returned mail: see transcript for details
    • Returned mail: Data format error

      Mensaje:
      El contenido del mensaje puede variar, con base a un número de opciones de texto. Cada una de las frases o palabras estarán separadas por un "|":
    • Dear user {<recipient's email address>|of <recipient's email domain>},{ {{M|m}ail {system|server} administrator|administration} of <recipient's email domain> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
      {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
      {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
      {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
      {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
      {<recipient's email domain> {user |technical |}support team.|The <recipient's email domain> {support |}team.}

    • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
      Your message {was not|could not be} delivered because the destination {computer|server} was
      {not |un}reachable within the allowed queue period. The amount of time
      a message is queued before it is returned depends on local configura-
      tion parameters.
      Most likely there is a network problem that prevented delivery, but
      it is also possible that the computer is turned off, or does not
      have a mail system running right now.

    • Your message {was not|could not be} delivered within <random number> days:
      {{{Mail s|S}erver}|Host} <host used to send the email>} is not responding.
      The following recipients {did|could} not receive this message:
      <<recipient's email address>>
      Please reply to postmaster@{<sender's email domain>|<recipient's email domain>}
      if you feel this message to be in error.
      The original message was received at [current time]{
      | }from {<sender's email domain> ]|{<host used to send the email>]|]}}
      ----- The following addresses had permanent fatal errors -----
      {<<recipient's email address>>|<recipient's email address>}
      {----- Transcript of {the ||}session follows -----
      ... while talking to {host |{mail |}server ||||}{<recipient's email domain>.|<host used to send the email>]}:
      {>>> MAIL F{rom|ROM}:[From address of mail]
      <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<recipient's email address>>... {Mail quota exceeded|Message is too
      large}
      554 <<recipient's email address>>... Service unavailable|550 5.1.2 <<recipient's email address>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
      Session aborted{, reason: lost connection|}|>>> RCPT To:<<recipient's email address>>
      <<< 550 {MAILBOX NOT FOUND|5.1.1 <<recipient's email address>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
      {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
      |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
      |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
      |}<<< 400}|}
      The original message was included as attachment

    • {{The|Your} m|M}essage could not be delivered

      Notas:
    • <recipient's email address> es la dirección electrónica quien recibe el mensaje.
    • <recipient's email domain> Es el dominio de la dirección electrónica, de quien recibe el mensaje. Por ejemplo si la dirección electrónica es john_doe@example.com, el dominio es "example.com."
    • <sender's email domain> es el dominio que quien envía el mensaje. Por ejemplo, si la dirección electrónica es john_doe@example.com, el dominio es "example.com."
    • <host used to send the email> es el nombre del servidor de correo que utiliza el equipo infectado. El gusano toma esta información del registro del equipo infectado.


      Archivo adjunto: El gusano puede generar un nombre de archivo adjunto desde el nombre de dominio de las direcciones de correo que se toman del sistema. El nombre del archivo adjunto puede ser uno de los siguientes:
    • readme
    • instruction
    • transcript
    • mail
    • letter
    • file
    • text
    • attachment
    • document
    • message

      con una de las siguientes extensiones:
    • cmd
    • .bat
    • .com
    • .exe
    • .pif
    • .scr
    • .zip

      este archivo adjunto puede tener una segunda extensión que puede ser una de las siguientes:
    • doc
    • txt
    • htm
    • html


      Notas:
    • Aproximadamente 30% de las ocasiones, el archivo adjunto estará comprimido. En estos casos contará con varios archivos comprimidos uno dentro de otro.
    • Hay un 15% de posibilidades de que el gusano anexe un archivo "basura" en el correo en lugar de una copia de sí mismo.



      El gusano no se enviará a las direcciones que contengas los siguientes valores:
    • mailer-d
    • spam
    • abuse
    • master
    • sample
    • accou
    • privacycertific
    • bugs
    • listserv
    • submit
    • ntivi
    • support
    • admin
    • page
    • the.bat
    • gold-certs
    • feste
    • not
    • help
    • foo
    • soft
    • site
    • rating
    • you
    • your
    • someone
    • anyone
    • nothing
    • nobody
    • noone
    • info
    • winrar
    • winzip
    • rarsoft
    • sf.net
    • sourceforge
    • ripe.
    • arin.
    • google
    • gnu.
    • gmail
    • seclist
    • secur
    • bar.
    • foo.com
    • trend
    • update
    • uslis
    • domain
    • example
    • sophos
    • yahoo
    • spersk
    • panda
    • hotmail
    • msn.
    • msdn.
    • microsoft
    • sarc.
    • syma
    • avp


Symantec Gateway Security 2.0 - 5400 Series y Symantec Gateway Security 1.0 – 5300 Series
  • Componente de Antivirus: Existe una actualización para Symantec Gateway Security AntiVirus que protege a los usuarios contra W32.Mydoom.M@mm se le recomienda a los usuarios de Symantec Gateway Security series 5000, ejecutar LiveUpdate.
  • Componente IDS/IPS: No se tiene planeada una actualización para este gusano.
  • Componente Full application inspection firewall: En forma predeterminada la tecnología full application inspection firewall protege a su red de la propagación de W32.Mydoom.M@mm bloqueando a los atacantes el acceso al puerto TCP 1034 en los sistemas infectados. Recomendamos insistentemente a los Administradores verificar que las políticas de seguridad no hayan sido modificadas, tal que permitan la entrada a través del puerto 1034 de TCP.

Cuando se configura por medio del asistente de políticas, la regla del SMTP creada en el security gateway bloqueará directamente los sistemas infectados que traten enviar correos a internet.

Symantec Enterprise Firewall 8.0
  • En forma predeterminada la tecnología full application inspection firewall protege a su red de la propagación de W32.Mydoom.M@mm bloqueando a los atacantes el acceso a través del backdoor en el puerto 1034 de TCP en los sistemas infectados. Recomendamos insistentemente a los Administradores verificar que las políticas de seguridad no hayan sido modificadas, tal que permitan la entrada a través del puerto 1034 de TCP.
  • Adicionalmente el módulo SMTP del security gateway bloqueará sistemas infectados que traten de enviar en forma directa correos electrónicos a internet, evitando futuras infecciones.

Symantec Enterprise Firewall 7.0.x y Symantec VelociRaptor 1.5
  • En forma predeterminada la tecnología full application inspection firewall protege a su red de la propagación de W32.Mydoom.M@mm bloqueando a los atacantes el acceso a través del backdoor en el puerto 1034 de TCP en los sistemas infectados. Recomendamos insistentemente a los Administradores verificar que las políticas de seguridad no hayan sido modificadas, tal que permitan la entrada a través del puerto 1034 de TCP.
  • Adicionalmente el módulo SMTP del security gateway bloqueará sistemas infectados que traten de enviar en forma directa correos electrónicos a internet, evitando futuras infecciones.

Symantec Clientless VPN Gateway 4400 Series
  • Esta amenaza no afecta a Symantec Clientless VPN Gateway v5.0. Para reducir el riesgo de una futura propagación debería incluir una regla que solamente permita el acceso al correo de usuarios remotos autentificados en su servidor de correo interno.

Symantec Gateway Security 300 Series
En forma predeterminada la tecnología stateful inspection , evita posibles ataques sobre el backdoor del puerto 1034 TCP en los equipos infectados.
Para reducir el riesgo de una infección, se pide a los administradores utilizar la función AVpe de SGS series 300 para segurarse de que sus clientes de AV estén actualizados con las definiciones de virus y que las políticas de entrada sobre el puerto TCP 1034 no hayan sido modificadas.

Symantec Firewall/VPN 100/200 Appliances
En forma predeterminada la tecnología stateful inspection , evita posibles ataques sobre el backdoor del puerto 1034 TCP en los equipos infectados. Para reducir el riesgo de una infección, se pide a los administradores utilizar la función AVpe de SGS series 300 para segurarse de que sus clientes de AV estén actualizados con las definiciones de virus y que las políticas de entrada sobre el puerto TCP 1034 no hayan sido modificadas.



Recomendaciones

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Artículo de: John Canavan

Detectado: July 26, 2004
Actualizado: February 13, 2007 12:27:33 PM
También conocido como: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
Tipo: Worm
Longitud de la infección: varios
Sistemas afectados: Windows


Eliminación de W32.Mydoom.M@mm por medio de la herramienta
Symantec Security Response ha desarrollado una herramienta de eliminación de W32.Mydoom.M@mm. Esta es la forma más sencilla de eliminar las infecciones causadas por esta amenaza y debería de utilizarse en primera instancia.

Eliminación manual
Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta amenaza.


Las siguientes instrucciones aplican para todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto Symantec AntiVirus y Norton Antivirus.

  1. Desactive Restaurar el sistema (Windows Me o XP).
  2. Actualice las definiciones de virus.
  3. Reinicie la computadora en modo a prueba de fallas o modo VGA
  4. Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten como W32.Mydoom.M@mm.
  5. Elimine el valor que se haya agregado al registro.
Para obtener detalles específicos sobre cada uno de estos pasos, lea las instrucciones a continuación.


1. Deshabilitar Restaurar sistema de Windows ME/XP
    Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

    Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

    Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.

    Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.


2. Actualice las definiciones de virus
    Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
    • Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
    • Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
      Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos de definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

3. Reinicie su computadora en Modo a prueba de fallos o modo VGA
    • Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie la computadora en Modo a prueba de fallos. Para más información, consulte el documento Cómo iniciar su equipo en Modo seguro.
    • Para usuarios con Windows NT 4 , reinicie su computadora en modo VGA.

4. Búsqueda y eliminación de archivos infectados

5. Eliminación de los valores que fueron agregados al registro de Windows


ADVERTENCIA : Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows .
  1. Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)
  2. Escriba regedit.

    A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro.)
  3. Desplácese a la clave:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  4. En el panel derecho, elimine los valores:

    "Services" = "%Windir%\services.exe"
    "JavaVM" = "%Windir%\java.exe"
  5. Busque las claves:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
    HKEY_CURRENT_USER\Software\Microsoft\Daemon

    y elimínelas.

  6. Salga del registro de Windows.

  7. Reinicie su equipo en Modo Normal. Si desea mayor información para realizar esta acción, consulte el documento Cómo iniciar su equipo en Modo seguro.




Artículo de: John Canavan