W32/MyDoom-AJ

Vea la información para eliminar gusanos.

Tendrá que editar las entradas modificadas por el gusano. Lea el aviso antes de modificar el registro de Windows.

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en las siguientes entradas:

HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\Run\

Cierre el editor del registro.

W32/MyDoom-AJ es un gusano de email y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC

El gusano se extiende también aprovechando la vulnerabilidad LSASS (MS04-011). W32/MyDoom-AJ es un gusano de email y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC

El gusano se extiende también aprovechando la vulnerabilidad LSASS (MS04-011).

Al ejecutarse por primera vez, el gusano se copia en la carpeta del sistema de Windows con el nombre mathchk.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run RealPlayer Ath Check= mathchk.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices RealPlayer Ath Check= mathchk.exe

HKLM\Software\Microsoft\OLE RealPlayer Ath Check= mathchk.exe

HKLM\System\CurrentControlSet\Control\Lsa\ RealPlayer Ath Check= mathchk.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run RealPlayer Ath Check= mathchk.exe

HKCU\Software\Microsoft\OLE RealPlayer Ath Check= mathchk.exe

HKCU\System\CurrentControlSet\Control\Lsa RealPlayer Ath Check= mathchk.exe

El gusano se envía a todas las direcciones encontradas en el sistema en un mensaje con las siguientes características:

Asunto: Good day Hello Server Report Status <en blanco>

Mensaje: Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. The original message was included as an attachment. <aleatorio>

Archivo adjunto: con extensión bat, cmd, exe, scr, pif o zip body data doc document file message readme text

Los productos antivirus de Sophos incluyen tecnología Genotype ™ que permite la detección de nuevas amenazas sin necesidad de actualización. Los clientes de Sophos están protegidos contra W32/Mytob-AJ (detectado como W32/MyDoom-Gen) desde la versión 3.92.