26/07/2004

Aparece Mydoom.N propagándose a través de correo electrónico utilizando su propio motor SMTP


04-virus-gusano1 (5k image)PandaLabs ha detectado la presencia de Mydoom.N, una nueva variante del conocido gusano Mydoom, que ya ha provocado algunas incidencias entre los equipos de los usuarios.



Mydoom.N se propaga a través de correo electrónico utilizando su propio motor SMTP. Este gusano, que actúa como un backdoor, instala un fichero ejecutable que abre un puerto. De este modo puede permitir acceder remotamente al ordenador afectado para llevar a cabo acciones sobre él que pueden comprometer la confidencialidad o el uso normal de la máquina.


Mydoom.N crea la siguiente claves para ejecutarse cada vez que se inicia Windows


HKLMSoftwareMicrosoftWindowsCurrentVersionRun
JavaVM = \"%WinDir %java.exe\"


HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Services = \"%WinDir %Services.exe\"


Además crea los ficheros %WinDir%java.exe copia del propio gusano, y %Windir%Services.exe.


Además de utilizar una dirección robada, puede usar uno de los siguientes textos para componer parte de la dirección del remitente.


\"Automatic Email Delivery Software\"
\"Bounced mail\"
\"Mail Administrator\"
\"Mail Delivery Subsystem\"
\"MAILER-DAEMON\"
\"Post Office\"
\"Postmaster\"
\"Returned mail\"
\"The Post Office\"


Este gusano puede llegar en mensajes sin cuerpo, un volcado de datos sin sentido o alguno de los siguientes:


Your message was undeliverable due to the following reason(s):


Your message could not be delivered because the destination computer was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.


Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.


Your message was not delivered within 5days:
Host is not responding.


The following recipients did not receive this message:



Please reply to
if you feel this message to be in error.


Message could not be delivered


Dear user of %dominio del receptor%,


Your email account was used to send a large amount of span during the last week.
Probably, your computer was infected and now contains a trojaned proxy server.


We recommend that you follow the instructions in order to keep your compute safe.


Virtually yours,
%dominio del receptor% user support team.


Por su parte, el fichero adjunto al mensaje, que contiene el código del gusano, también presenta una gran variedad de nombres como por ejemplo \"%dirección e-mail del receptor%\", \"readme\" instruction\", \"attachment\", %dominio del receptor%\", \"transcript\", \"mail\", \"setter\". \"file\", \"text\" y \"document\".


 Más:

Hacker ataca sitio oficial de la Presidencia de la Nación Argentina
La fiebre de la PlayStation Portátil llegó a EEUU
Nokia anuncia su primer juego de Pinball para la plataforma N-Gage
Jon Hacker Johansen, el dolor de cabeza de Apple
Hackers roban datos de la Universidad Estatal de California

2006 | 2005 | 2004 - 2003 - 2002