W32/MyDoom-Y

Vea la información para eliminar gusanos.

Windows NT/2000/XP/2003

En Windows NT/2000/XP/2003 también tendrá que editar las entradas modificadas por el gusano.

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en la siguiente entrada del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS Updates

Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en la siguiente entrada:

HKU\[código de usuario]\ Software\Microsoft\Windows\
CurrentVersion\Run\MS Updates

Cierre el editor del registro.

W32/MyDoom-Y es un gusano de email para Windows que intentará conectar con la Web http://www.microsucks.com.

A partir de la 1:00 del 1 de diciembre de 2004, W32/MyDoom-Y intentará cerrar el sistema cada vez que se inicie. W32/MyDoom-Y es un gusano de email para Windows que intentará conectar con la Web http://www.microsucks.com.

W32/MyDoom-Y se copia en la carpeta del sistema de Windows con el nombre SYSHOSTS.EXE y crea una de las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS Updates
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MS Updates

El gusano también crea la siguiente entrada como marca de infección:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SYSHOSTS

W32/MyDoom-Y llega adjunto en un mensaje con las siguientes características:

Asunto:
album
You've got a virtual postcard!

Mensaje:
"My pics...*sexy*. Heheh! ;)"

"You have just received a new postcard from Fleshecard.com!

From: <remitente>

To pick up your postcard follow this web address

http://www.flashecard.com.viewcard.main.ecard.php2342

or click the attached link. We hope you enjoy your postcard, and if
you do, please take a moment to send a few yourself!

http://www.flashecard.com

(Your message will be available for 30 days.)

Please visit our site for more information."

Archivo adjunto:
"Photos_album"
"www.flashecard.com?postcard=viewcard?download"

con extensión SCR o HTML.SCR

W32/MyDoom-Y se enviará a todas las direcciones almacenadas en la libreta de direcciones de Windows y a las direcciones encontradas en archivos:

htmb
htmbl
shtl
phpq
emll
msgq
aspd
dbxn
tbbg
adbh
wab

W32/MyDoom-Y evitará direcciones que incluyan:

syma
msn
hotmail
anda
opho
borlan
npris
xample
mydom
@domai
ruslis
.gov
.mil
@foo
berkley
unix
math
bsd
mit.e
gnu
fsf
ibm
oogle
kernel
linux
fido
senet
@iana
ripe
isi.e
arin
rfc-ed
isc.o
ecur
acketst
pgp
tanford.e
utgers.ed
ample
info
root@
ostmaster@
ebmaster@
you
ugs@
ating@
ontact@
soft
rivacy
ervice
help
ubmit@
feste
cert
page
upport
ntivi
istser
ertific
ccoun
spm
Spam
SPAM
spam
abuse
cafee
@messagelab
@avp
kasp
winzip
winrar
pdate
irus
ahoo
buse@
sale

W32/MyDoom-Y falsifica la procedencia del mensaje, combinando los siguientes nombres:

Jennifer
Barbara
Linda
Susan
Eric
Kevin
Mary
Robert
John
Maria
Alex
Pamela
Anna
Andrew
Fred
Jack
James
Julie
Debby
Claudia
Matt
Brent

con los siguientes dominios:

@aol.com
@hotmail.com
@yahoo.com
@msn.com
@excite.com
@mail.com

W32/MyDoom-Y intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad, incluyendo los procesos que incluyan en su nombre:

task
msconfig
AV
MC
ieframe
nti
iru
ire
cc
ecu
can
scn
kv
fr
regedit

W32/MyDoom-Y crea un Mutex con la etiqueta hola_back_bitches.

A partir de la 1:00 del 1 de diciembre de 2004, W32/MyDoom-Y intentará cerrar el sistema cada vez que se inicie.