Mydoom.N se propaga a través de correo electrónico utilizando su propio motor SMTP. Este gusano, que actúa como un backdoor, instala un fichero ejecutable que abre un puerto. De este modo puede permitir acceder remotamente al ordenador afectado para llevar a cabo acciones sobre él que pueden comprometer la confidencialidad o el uso normal de la máquina.
Mydoom.N crea la siguiente claves para ejecutarse cada vez que se inicia Windows
HKLMSoftwareMicrosoftWindowsCurrentVersionRun JavaVM = \"%WinDir %java.exe\"
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Services = \"%WinDir %Services.exe\"
Además crea los ficheros %WinDir%java.exe copia del propio gusano, y %Windir%Services.exe.
Además de utilizar una dirección robada, puede usar uno de los siguientes textos para componer parte de la dirección del remitente.
\"Automatic Email Delivery Software\" \"Bounced mail\" \"Mail Administrator\" \"Mail Delivery Subsystem\" \"MAILER-DAEMON\" \"Post Office\" \"Postmaster\" \"Returned mail\" \"The Post Office\"
Este gusano puede llegar en mensajes sin cuerpo, un volcado de datos sin sentido o alguno de los siguientes:
Your message was undeliverable due to the following reason(s):
Your message could not be delivered because the destination computer was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message was not delivered within 5days: Host is not responding.
The following recipients did not receive this message:
Please reply to if you feel this message to be in error.
Message could not be delivered
Dear user of %dominio del receptor%,
Your email account was used to send a large amount of span during the last week. Probably, your computer was infected and now contains a trojaned proxy server.
We recommend that you follow the instructions in order to keep your compute safe.
Virtually yours, %dominio del receptor% user support team.
Por su parte, el fichero adjunto al mensaje, que contiene el código del gusano, también presenta una gran variedad de nombres como por ejemplo \"%dirección e-mail del receptor%\", \"readme\" instruction\", \"attachment\", %dominio del receptor%\", \"transcript\", \"mail\", \"setter\". \"file\", \"text\" y \"document\".
|