Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Categoría: 2 (bajo riesgo)
Tipo: Gusano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: Correo infectado.
Fecha de descubrimiento: 19 de enero de 2005
Acciones que toma:

1. Hace una copia de si mismo en: %Windir%\services.exe
2. Se registra a si mismo com oservicio con estas propiedades
   • Service name: NetBios Ext
   • Display name: NetBios Ext
   • Path to executable: %Windir%\services.exe serv
   • Startup type: Automatic
3. Crea esta clave en el registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\NetBios Ext , de esa manera, se ejecuta cada vez que el sistema arranca.
4. Añade este valor: "RPCserv32" = "%Windir%\services.exe" en la siguiente clave del registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run , de manera que arranca cada vez que se inicia el sistema.
5. Modifica la siguiente entrada del registro a fin de evitar la acción del firewall HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications\List
6. Descarga y ejecuta una copia del troyano Backdoor.Nemog.D desde uno de estos dominios:
   • petrucciforum.com
   • ra-kbr.ru
   • ribaforada.net
   • stahlhammer.org
   • strikenet.us
   • sundayriders.co.uk
   • supermantv.net
   • xprizenews.org
   • yamamizuryu.org
   • foxalpha.com
   • frenchconnexion.org
   • hidden-agenda.co.uk
   • hooping.org
   • hypnobirthing.co.uk
   • idiotica.co.uk
   • imogenheap.co.uk
   • knutsfordcricket.co.uk
   • lancer.com.ru
   • newgenerationcomics.net
   • overcoming-x.org.ru
7. Detiene numerosos servicios relacionados con temas de seguridad como antivirus y firewalls. La lista completa se encuentra en la página de referencia.
8. Añade las siguientes entradas al archivo hosts a fin de bloquear el acceso a páginas de de antivirus y de centros de seguridad.
   • 127.0.0.1 www.avp.com
   • 127.0.0.1 www.viruslist.com
   • 127.0.0.1 viruslist.com
   • 127.0.0.1 www.symantec.com
   • 127.0.0.1 networkassociates.com
   • 127.0.0.1 secure.nai.com
   • 127.0.0.1 downloads1.kaspersky-labs.com
   • 127.0.0.1 downloads2.kaspersky-labs.com
   • 127.0.0.1 downloads3.kaspersky-labs.com
   • 127.0.0.1 downloads4.kaspersky-labs.com
   • 127.0.0.1 downloads-us1.kaspersky-labs.com
   • 127.0.0.1 downloads-eu1.kaspersky-labs.com
   • 127.0.0.1 kaspersky-labs.com
   • 127.0.0.1 www.networkassociates.com
   • 127.0.0.1 us.mcafee.com
   • 127.0.0.1 f-secure.com
   • 127.0.0.1 avp.com
   • 127.0.0.1 www.sophos.com
   • 127.0.0.1 sophos.com
   • 127.0.0.1 www.ca.com
   • 127.0.0.1 ca.com
   • 127.0.0.1 securityresponse.symantec.com
   • 127.0.0.1 symantec.com
   • 127.0.0.1 mast.mcafee.com
   • 127.0.0.1 my-etrust.com
   • 127.0.0.1 www.kaspersky.com
   • 127.0.0.1 www.f-secure.com
   • 127.0.0.1 dispatch.mcafee.com
   • 127.0.0.1 update.symantec.com
   • 127.0.0.1 nai.com
   • 127.0.0.1 www.nai.com
   • 127.0.0.1 liveupdate.symantec.com
   • 127.0.0.1 customer.symantec.com
   • 127.0.0.1 rads.mcafee.com
   • 127.0.0.1 trendmicro.com
   • 127.0.0.1 liveupdate.symantecliveupdate.com
   • 127.0.0.1 www.mcafee.com
   • 127.0.0.1 mcafee.com
   • 127.0.0.1 viruslist.com
   • 127.0.0.1 www.my-etrust.com
   • 127.0.0.1 download.mcafee.com
   • 127.0.0.1 updates.symantec.com
   • 127.0.0.1 kaspersky.com
   • 127.0.0.1 www.trendmicro.com
9. Trata de obtener información de nuestras costumbres al navegar añadiendo una consulta de tipo GET a las siguientes direcciones
   • www.google.com
   • www.accoona.com
10. Obtiene direcciones de correo de la libreta de direcciones de Microsoft y de archivos con la siguiente extensión
    • .wab
    • .uin
    • .txt
    • .tbb
    • .stm
    • .sht
    • .php
    • .msg
    • .mht
    • .mbx
    • .jsp
    • .htm
    • .eml
    • .dht
    • .dbx
    • .cgi
    • .asp
    Nota:El virus no se enviará a direcciones que contengan estas extensiones:
    • .gov
    • .mil
    • @foo.
    • @iana
    • abuse
    • accoun
    • acketst
    • admin
    • antivi
    • anyone
    • arin.
    • avp.
    • berkeley
    • borlan
    • bsd
    • certific
    • contact
    • example
    • feste
    • fido
    • fsf.
    • gnu
    • gold-certs
    • google
    • gov.
    • help
    • iana
    • ibm.com
    • icq.com
    • icrosof
    • icrosoft
    • ietf
    • info
    • inpris
    • isc.o
    • isi.e
    • kasp
    • kernel
    • linux
    • listserv
    • math
    • messagelabs
    • mit.e
    • mozilla
    • mydomai
    • news
    • nobody
    • nodomai
    • noone
    • noreply
    • nothing
    • ntivi
    • panda
    • pgp
    • postmaster
    • privacy
    • rating
    • rfc-ed
    • ripe.
    • root
    • ruslis
    • samples
    • secur
    • sendmail
    • service
    • site
    • somebody
    • someone
    • sopho
    • spam
    • submit
    • support
    • syman
    • tanford.e
    • unix
    • upport
    • usenet
    • utgers.ed
    • webmaster
    • www
11. Usará su propio motor smtp para enviarse mediante correos con las características descritas en el punto 11 de la página de referencia.
12. Buscará un directorio donde esté instalada una aplicación de ICQ
    mediante una cosulta al esta cleve en el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Paths\ICQ.exe
13. Se copia a si mismo a ese directorio como uno de los siguientes archivos:
    • 1.exe
    • mymusic.pif
    • rulezzz.scr
    • matrix.scr
    • newvirus.exe
    • mylove.pif
    • antibush.scr
    • icqcrack.exe
    • myfack.pif
    • hello.pif
    • pinguin5.exe
    • you the best.scr
    • fantasy.scr
    • coolgame.zip[many spaces].exe
    • mynewphoto.zip[many spaces].exe
    • mult.exe
14. Tratará de enviarse a si mismo a través del ICQ mediante uno de los siguientes mensajes:
    • fun game http:/ /[vínculo peligroso :/-)))
    • funy game http:/ /[vínculo peligroso =)
    • game http:/ /[vínculo peligroso :/-)
    • view my postcard http:/ /[vínculo peligroso
    • merry-christmas http:/ /[vínculo peligroso !!!
    • happy x-mas http:/ /[vínculo peligroso !
    • lol http:/ /[vínculo peligroso
    • http:/ /[vínculo peligroso
    • shit!!! http:/ /[vínculo peligroso
    • http:/ /[vínculo peligroso
    • about Saddam Hussein http:/ /[vínculo peligroso
    • sex on mars http:/ /[vínculo peligroso LOL
    donde [vínculo peligroso] será una de estas direcciones:
    • benjafieldsracingclub.co.uk
    • ford-econoline.com
    • forum.absoluteinsight.net
    • indiehangout.net
    • s88458503.onlinehome.us
    • eastcoastchoons.co.uk
    • hypnobirthing.co.uk
    • innerquest.asso.fr
    • overcoming-x.org.ru
    • piercedforum.us
    • simplydv.co.uk
    • spiritkin.net
15. Tratará de expandirse mediante este fallo del Microsoft Internet Explorer.

---

Eliminación:

Manual:

1. Deshabilitar la recuperación del sistema (Windows Xp y Millenium)
2. Actualizar las definiciones del antivirus
3. Ejecutar un análisis completo y borrar todos los archivos infectados con «W32.Mydoom.AL@mm»
4. Borrar las entradas mencionadas del el registro al igual que los archivos mencionados.

---

Comentario:
Este virus debería estar calificado como 3 al menos dada la variedad de formas que tiene de expandirse, lo seriamente que puede afectar al sistema y lo comp`rometido que lo deja.

Sin embargo, a pesar de lo dañino que puede ser, es bastante fácil deshacerse de el dado que los antivirus lo detectan sin problemas.

Páginas de referencia:
Inglés