W32/MyDoom-A worm

[Hell-VoyAgeR]

Questo bel vermicello e' in giro e si diffonde rapidamente... quindi occhio!!!

A detailed analysis of W32/MyDoom-A is available at:
http://www.sophos.com/virusinfo/anal...32mydooma.html

[eraser]

Si tratta di un worm che si diffonde attraverso e-mail infette e tramite reti Peer-to-Peer (P2P). Quando viene eseguito, il worm apre il programma Notepad di Windows, visualizzando una serie di dati privi di senso.

Nelle e-mail infette il worm usa oggetto, testo e nomi di allegati variabili. Il worm tenta anche di effettuare un attacco DDOS (Distributed Denial Of Service) verso il sito SCO.COM. L’attacco è programmato per cominciare il 1 febbraio.

Il worm si comporta anche come una backdoor, installando sui sistemi infetti una libreria dinamica SHIMGAPI.DLL nella cartella di sistema di Windows ed eseguendola come processo figlio del programma EXPLORER.EXE.

Il worm è stato programmato per fermare il proprio processo di diffusione il 12 febbraio.

Dettagli tecnici

Il worm è compresso con il programma UPX e la sua lunghezza è di 22528 byte. Le stringhe di testo presenti nel programma sono codificate con l’algoritmo ROT13.

Quando viene eseguito, il worm crea un mutex (oggetto di sistema) con nome “SwebSipcSmtxSO”, allo scopo di evitare la l’esecuzione di più istanze di se stesso.

Il worm copia se stesso nella cartella di sistema di Windows usando il nome taskmon.exe e quindi modifica il Registro di sistema allo scopo di venire eseguito in automatico ad ogni avvio di Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
" TaskMon" = %sysdir%\taskmon.exe

Nel caso in cui tale modifica fallisca, il worm tenta di scrivere la seguente chiave

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"TaskMon" = %sysdir%\taskmon.exe

Il worm crea anche un altro file, codificato all’interno del programma principale, e lo memorizza su disco nel seguente percorso

%sysdir%\shimgapi.dll

Questo programma ha funzioni di backdoor e apre le porte TCP/IP dalla 3127 alla 3198, mettendosi in ascolto per eventuali connessioni. Una delle caratteristiche di questa backdoor consiste nella possibilità di ricevere dei programmi da remoto e di eseguirli sul sistema infetto.

Diffusione tramite P2P

Il worm effettua una ricerca nel Registro di sistema per individuare l’eventuale presenza del percorso condiviso del programma P2P Kazaa. Se il test ha successo, il worm copia se stesso nella cartella trovata usando i seguenti nomi

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Le cui estensioni vengono scelte in modo casuale nella seguente lista

.bat
.exe
.scr
.pif

Diffusione via e-mail

Il worm trova gli indirizzi e-mail ai quali spedire se stesso consultando la Rubrica di Windows e il contenuto di file aventi le estensioni che seguono

pl
adb
tbb
dbx
asp
php
sht
htm
txt

Le e-mail inviate dal worm si presentano con le seguenti caratteristiche:

L’oggetto è scelto tra una delle stringhe nella seguente lista:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Il testo del messaggio è scelto tra i seguenti:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

I nomi dei file allegati sono composti usando i nomi:

document
readme
doc
text
file
data
test
message
body

con le estensioni

pif
scr
exe
cmd
bat

Quando il computer infetto viene accesso dopo il 1 febbraio il worm richiede circa ogni secondo la pagina principale del sito SCO.COM. La richiesta di connessione viene effettuata con un semplice comando “GET / HTTP/1.1". Dal momento che tale effetto si verifica su tutte le macchine infette sparse nel mondo, lo scopo del worm consiste nel creare un sovraccarico di richieste tale da determinare un vero e proprio attacco DDOS.

http://www.nod32.it/pedia/m/mydoom-a.htm

ciao

Eraser

[eraser]

Tool di rimozione della F-Secure

http://www.f-secure.com/tools/f-mydoom.exe

Tool di rimozione di Sophos

http://www.sophos.com/support/cleaners/mydoogui.com

Tool di rimozione di Nod32

http://www.nod32.it/cgi-bin/mapdl.pl?tool=MyDoomA

[Hell-VoyAgeR]

Quote:

Originariamente inviato da eraser
Quando il computer infetto viene accesso dopo il 1 febbraio il worm richiede circa ogni secondo la pagina principale del sito SCO.COM. La richiesta di connessione viene effettuata con un semplice comando “GET / HTTP/1.1". Dal momento che tale effetto si verifica su tutte le macchine infette sparse nel mondo, lo scopo del worm consiste nel creare un sovraccarico di richieste tale da determinare un vero e proprio attacco DDOS.

mmm sono quasi pentito di aver fatto questa segnalazione

[edivad82]

Quote:

Originariamente inviato da Hell-VoyAgeR
mmm sono quasi pentito di aver fatto questa segnalazione

il solito 'stardo inside

[eraser]

Quote:

Originariamente inviato da Hell-VoyAgeR
mmm sono quasi pentito di aver fatto questa segnalazione

[ercolino]

Altre info le potete trovare qui:

http://punto-informatico.it/p.asp?i=46726

[Pancov]

Stasera su italia uno hanno detto che microsozz ha offerto 250mila dollari a chi segnala gli autori di tale virus.......

[^SkisO^]

qualcuno conosce un tool autonomo che controlla le mail su sul server e le cancella? ne usavo uno che funzionava molto bene per un altra ondata di virus di qualche mese fa "I-Worm.Sobig.F Virus Stopper" , sapete se ne esiste 1 per il nuovo mydoom?
thankz

[signo3d]

Scusa eraser(nn vorrei far arrabbaiare il nuovo mod ) ma avevo cercato e nn mi ero accorto di questo post!!

Spero nn t dispiaccia se faccio un copia incolla di quello che avevo scritto la :
-------------------------------------------------------------------------------
Nuovo virus MyDoom: la microsoft corre ai ripari con.....
......con 250.000$ di ricompensa a chi dara informazioni sui compilatori del nuovo worm MyDoom che sta infestando la rete mondiale!!!

Eh si avete capito bene,mezzo miliardo delle vecchie lire(nn che per il povero bill sia molto eh ). Cmq sto virus sta facendo un vero casino....io l'ho ricevuto 7 volte in 2 gg (fortuna che il buon norton me la sempre trovato ed eliminato) e quasi tutti i miei amici di pesaro (che naturalmente nn ne sanno un gran che di pc e di protezioni ) si sono beccati sto simpatico worm!

Ma voi sapete precisamente cosa attacca questa testa di bip!?!?
Naturalmente cmq per ora nn ce nessun modo di correre ai ripari se nn quello di tenmere l'antivirus aggiornato e magari di installare qualche buon firewall(anche se gi ail primo basterebbe)! :o:

bye bye e mi raccomando...aggiornate l'antivirus

[eraser]

ma ti pare chge mi arrabbio per ste cose

Ci mancherebbe

Ciao

Eraser

[signo3d]

Quote:

Originariamente inviato da eraser
ma ti pare chge mi arrabbio per ste cose

Ci mancherebbe

Ciao

Eraser

Chissa magari t sei innamorato del tasto ban .....scherzo avviamente !!
bye bye

[ingpeo]

Ottima segnalazione, ci sono mica i tool di rimozione anche per il W32/MyDoom-B??

[eraser]

http://www.bitdefender.com/html/viru..._id=1&v_id=186

trovi il link in fondo alla pagina

Ciao

Eraser

[MButi]

Sco.com è KO domani la variante B ha in programma di lanciare attacchi DoS contro il sito di Microsoft, riuscirà a buttarlo giu ?

[GioFX]

Quote:

Originariamente inviato da MButi
Sco.com è KO domani la variante B ha in programma di lanciare attacchi DoS contro il sito di Microsoft, riuscirà a buttarlo giu ?

Sicuramente no.

[eraser]

beh però se contribuiamo anche noi podarsi che ci riusciamo....

[linux_goblin]

sicuramente per risolvere il problema alla microsoft nella giornata di domani spegneranno i server.

P.S. la mia signature l'ho fatta per il blaster, ma ultimamente è tornata valida.

;-)
Marco - Goblin

[ercolino]

Altre info che potrebbero essere utili le trovate qui:

http://www.microsoft.com/italy/secur...m.mspx?gssnb=1

[^SkisO^]

uh e per chi usa eudora?