W32/MyDoom-B

Vea la información para eliminar gusanos.

W32/MyDoom-B es un gusano de email, con un componente de puerta trasera, que busca direcciones en el disco duro del sistema infectado (en archivos con las extensiones WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB y PL) y las utiliza para enviarse y también como remitente, por lo que no se sabe de dónde procede realmente.

W32/MyDoom-B crea un archivo con el nombre Message en al carpeta temp y lo abre con el Bloc de notas, para mostrar su contenido de caracteres aleatorios.

W32/MyDoom-B llega en un email con las siguientes características:

Asuntos: Mail Transaction Failed Unable to deliver the message Status Delivery Error Mail Delivery System hello hi Error Server Report Returned mail [caracteres aleatorios]

Mensajes: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available.

Nombres del archivo adjunto: body text document data file readme message doc [caracteres aleatorios]

El archivo adjunto podría tener una o dos extensiones. La primera extensión será DOC, TXT o HTM, y la segunda extensión será BAT, CMD, EXE, PIF, SCR o ZIP.

El gusano también se copia en la carpeta compartida en la red de intercambio de archivos KaZaA con alguno de los siguientes nombres y las extensiones PIF, EXE, SCR o BAT:

NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final

W32/MyDoom-B se copia en la carpeta System de Windows con el nombre explorer.exe y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ = <system>\explorer.exe

Tenga en cuenta que existe una aplicación del sistema con el nombre explorer.exe en la carpeta de Windows.

El componente de puerta de W32/MyDoom-B, con el nombre ctfmon.dll en al carpeta System, permite el acceso no autorizado al sistema infectado a través del puerto TCP 1080 y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 Default= "<archivo dll>"

Entre el 1 de febrero y el 1 de marzo de 2004, existe una probabilidad del 20% de que el gusano inicie un ataque DoS (denial of service) contra la Web www.sco.com. Entre el 3 de febrero y el 1 de marzo de 2004 existe una probabilidad del 30% de que el gusano inicie el ataque DoS contra www.microsoft.com.

A partir del 1 de marzo, W32/MyDoom-B dejará de extenderse, aunque el componente de puerta trasera seguirá activo.

W32/MyDoom-B también creará un archivo hosts en la carpeta de Windows para intentar evitar el acceso a los siguientes sitios Web:

engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net ads.fastclick.net banner.fastclick.net banners.fastclick.net www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com ftp.f-secure.com securityresponse.symantec.com www.symantec.com symantec.com service1.symantec.com liveupdate.symantec.com update.symantec.com updates.symantec.com support.microsoft.com downloads.microsoft.com download.microsoft.com windowsupdate.microsoft.com office.microsoft.com msdn.microsoft.com go.microsoft.com nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com networkassociates.com avp.ru www.avp.ru www.kaspersky.ru www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com download.mcafee.com mast.mcafee.com www.trendmicro.com www3.ca.com ca.com www.ca.com www.my-etrust.com my-etrust.com ar.atwola.com phx.corporate-ir.net www.microsoft.com