Nombre completo: [email protected]
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:Lyzapo.A (Microsoft), MyDoom.EA (Trend Micro), W32/Mydoom.cf (McAfee)
Detalles

Método de Infección/Efectos

Cuando se ejecuta por primera vez, se crean los siguientes ficheros:
%System%\wpcap.dll
%System%\Packet.dll
%System%\WanPacket.dll
%System%\drivers\npf.sys
%System%\npptools.dll
%System%\wmcfg.exe
%System%\wmiconf.dll

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

El troyano borra los siguientes ficheros:
%System%\sysvmd.dll
%System%\regscm.dll
%System%\maus.dl
%System%\maus.dl_
%System%\inf\drmkf.inf
%System%\ntmpsvc.dll
%System%\ssdpupd.dll
%System%\perfb093.dat
%System%\netlmgr.dll

El troyano crea las siguientes entradas en el registro:
Clave:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

Valor:wmiconf= "WmiConfig"
Clave:HKLM\System\CurrentControlSet\Services\WmiConfig

Valor:Type=0x120

Valor:Start=0x2

Valor:ErrorControl=0x1

Valor:ImagePath= "%SystemRoot%\system32\svchost.exe -k wmiconf"

Valor:DisplayName= "WMI Performance Configuration"

Valor:ObjectName= LocalSystem

Valor:Description= "Configures and manages performance library information from WMI HiPerf providers."
Clave:HKLM\SYSTEM\CurrentControlSet\Services\WmiConfig\Parameters

Valor:ServiceDll="%System\wmiconf.dll"
Clave:HKLM\System\CurrentControlSet\Services\WmiConfig\Security

Valor:Security=[DATOS_EN_BINARIO]

El troyano borra las siguientes entradas del registro de Windows:
Clave:HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost\secvcs

Clave:HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost\NtmpSvc

Clave:HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost\SSDPUPD

Clave:HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost\netlman



Efectos

Este gusano realiza un ataque de denegación de servicio contra los siguientes sitios web:
banking.nonghyup.com
blog.naver.com
e zbank.shinhan.com
ebank.keb.co.kr
evisaforms.state.gov
ezbank.shinhan.com
faa.gov
finance.yahoo.com
mail.naver.com
travel.state.gov
whitehouse.gov
www.amazon.com
www.assembly.go.kr
www.auction.co.kr
www.chosun.com
www.defenselink.mil
www.dhs.gov
www.dot.gov
www.faa.gov
www.ftc.gov
www.hannara.or.kr
www.marketwatch.com
www.mofat.go.kr
www.moneyfactory.gov
www.nasdaq.com
www.nsa.gov
www.nyse.com
www.president.go.kr
www.site-by-site.com
www.state.gov

Método de Propagación

Este gusano usa un motor de SMTP para mandar correos con una copia de sí mismo adjunta.

Inicialmente recopila direcciones de correo y nombres de dominio de todos los ficheros almacenados en la carpeta de "Archivos temporales de Internet".


Fuente