Mydoom è un worm che si diffonde attraverso email e le reti peer to peer Kazaa. Quando eseguito apre il blocco note di Windows visualizzando caratteri a caso. Nelle mail utilizza un oggetto, corpo ed allegato variabile. Inoltre attacca il sito SCO.COM con un attacco di tipo DDoS. Questo attacco inizia il primo di Febbraio.

Il worm installa una backdoor sul computer infetto. Questo viene fatto inserendo il file SHIMGAPI.DLL nella directory di sistema di Windows e lanciandolo come un processo figlio di EXPLORER.EXE

Mydoom è programmato per fermare la sua diffusione il 12 Febbraio

Tool di disinfezione

F-Secure ha sviluppato uno speciale tool di disinfezione per questo word.
Il tool riconosce ed elimina l'infezione del worm Mydoom dai pc.

Il tool di rimozione di Mydoom in formato ZIP può essere scaricato da:

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.zip

http://www.f-secure.com/tools/f-mydoom.zip

La versione decompressa del tool è disponibile ai seguenti links:

http://www.f-secure.com/tools/f-mydoom.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.txt

http://www.f-secure.com/tools/f-mydoom.txt

Gli amministratori di sistema che usano F-Secure Policy Manager, possono distribuire il tool come un pacchetto Jar automaticamente a tutte le worksatation.

La versione JAR del tool è disponibile a questi links:

http://www.f-secure.com/tools/f-mydoom.jar

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.jar

Disinfezione manuale

La disinfezione manuale di Mydoom consiste nei seguenti passaggi:

1, Eliminare la seguente chiave di registro e riavviare il pc:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon]

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]

2, Eliminare il worm dalla directory di sistema di Windows:

%SysDir%\taskmon.exe

e la sua componente backdoor:

%SysDir%\shimgapi.dll

Descrizione dettagliata

Il worm critta la maggior parte delle stringhe nel suo corpo compattato con UPX con il metodo ROT13. Uno dei metodi che utilizza è la rotazione di tredici caratteri a destra nell'alfabeto, ricominciando dall'inizio se la posizione è dopo l'ultima lettera.

Quando eseguito il worm creerà un mutex con il nome "SwebSipcSmtxSO" per essere sicuro che solamente un istanza alla volta venga attivata.

Il worm lancia il Blocco Note di Windows con all'interno dati casuali.

Il worm si copia nella directory di sistema come 'taskmon.exe' ed aggiunge un valore nel registro di Windows:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = %sysdir%\taskmon.exe

oppure se fallisce:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = %sysdir%\taskmon.exe

Così da essere eseguito all'avvio di Windows.

Crea un altro file, codificato con UPX all'interno del body:

%sysdir%\shimgapi.dll

Il file apre sequenzialmente porte TCP da 3127 to 3198, in ascolto per nuove connessioni. Una delle possibilità che offre questa backdoor è di ricevere un file eseguibile e di eseguirlo sulle macchine gia infette.

Diffusione attraverso P2P

Il worm scandisce il registro di Windows cercando il valore contenente la directory condivisa di Kazaa, si copia al suo interno con il un nome scelto dalla seguente lista:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

un estensione scelta da:

.bat
.exe
.scr
.pif
.zip

Mass mailing

Il worm raccoglie indirizzi email a cui inviarsi dal Windows' Address Book e da file con le seguenti estensioni:

pl
adb
tbb
dbx
asp
php
sht
htm
txt

Prova a bypassare le protezioni anti spam, ad esempio sostituendo il simbolo '@' con 'at' e per mezzo di altre combinazioni simili.

I messaggi e-mail spediti dal worm hanno le seguenti caratteristiche:

Il subject è scelto tra i seguenti:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Il body è del tipo:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

Gli allegati sono composti combinando i seguenti nomi:

document
readme
doc
text
file
data
test
message
body

con estensione:

pif
scr
exe
cmd
bat
zip

Il messaggio finale può apparire come quello mostrato nel'immagine.

Payload

Quando la macchina viene avviata dal primo Febbraio, il worm richiede la pagina iniziale del sito SCO.COM ogni secondo per ogni macchina infetta nel mondo. La richiesta è una semplice "GET / HTTP/1.1", creata appositamente per sovraccaricare il loro webserver

Rilevazione

F-Secure Anti-Virus per Windows rileva Mydoom con gli aggiornamenti pubblicati il 27 Gennaio 2004:

[FSAV_Database_Version]

Version=2004-01-27_01

In caso di difficolta' nell'aggiornamento automatico,
e' possibile prelevare gli aggiornamenti da:

ftp://ftp.f-secure.com/anti-virus/updates/fsupdate.exe

Descrizione: Mikko Hypponen, Katrin Tocheva, Ero Carrera e Sami Rautiainen 27 Gennaio 2004

F-Secure Corporation