Descrizione Breve

MyDoom.AG è stato rilevato il 9 Novembre 2004. Questo worm sfrutta una vulnerabilità non ancora corretta di Internet Explorer. A differenza degli altri mass-mailing worm, MyDoom.AG non si diffonde tramite allegato ma inserisce solamente un link che punta verso l' Host che ha inviato la mail infetta.

Come Payload MyDoom.AG ha una backdoor controllata tramite IRC che permette al creatore del worm di trasferire ed eseguire programmi nell' Host infetto

Descizione Dettagliata

Il corpo del worm è un file eseguibile Windows PE compresso con MEW. Il pacchetto compresso ha una dimensione di circa 42 Kb e molto probabilmente è stato scritto direttamente in assembly.

Infezione del sistema

Quando il il file del worm viene eseguito, crea una copia di sè nella cartella di sistema di Windows con un nome random che finisce con la stringa '32.exe' e crea una chiave nel registro di sistema per richiamare il proprio file.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Reactor3" = "%SystemDir%\<randomname>32.exe"

%SystemDir% rappresenta il nome della cartella di sistema di Windows per esempio:
C:\Windows\System32 nei sistemi Windows XP.

Propagazione E-mail

Il worm si propaga tramite e-mail. Prima della propagazione raccoglie gli indirizzi e-mail dal computer infetto. Il worm legge gli indirizzi dal Windows Address Book, dai file nella cartella Temporary Internet Files e dalla cartella di sistema di Windows. Vengono anche controllati i file con una delle seguenti stringhe nel loro nome:

wab
pl
adbh
tbbg
dbxn
aspd
phpq
shtl
htmb
txt

Usando il proprio motore SMTP MyDoom.AG spedisce e-mail agli indirizzi collezionati in precedenza. Il mittente della e-mail viene falsificato e il contenuto della e-mail viene scelto random tra uno dei seguenti :

Email subjects:

funny photos :)
hello
hey!

Il corpo della e-mail contiene al suo interno un testo HTML formattato con il seguente link:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

L'e-mail non contiene un allegato. Il worm spedisce solamente il link che punta verso l'host infetto. Il formato del link è il seguente:

h**p://<infected host ip>:port/<file_to_dowload>

MyDoom.AG installa sull'Host infetto un Web Server modificato che ascolta sulle porte TCP a partire da 1638 (0x666).

Le email trasmessi da MyDoom.AG contengono un header simile a quella autilizzato da alcuni prodotti Antivirus:

scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Checked for viruses by Gordano's AntiVirus Software
Checked by Dr.Web (http://www.drweb.net)

MyDoom.AG evita di diffondersi verso indirizzi e-mail che contengono una delle seguenti stringhe:

berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla

Backdoor

MyDoom.AG ha come Payload una backdoor controllata tramite IRC che permette al creatore del worm di trasferire ed eseguire programmi nell' Host infetto.

Rilevazione

MyDoom.AG viene rilevato con il seguente aggiornamento di F-Secure Anti-Virus il 9 Novembre 2004 :

[FSAV_Database_Version]

Version=2004-11-09_01

Dettagli Tecnici: Gergely Erdelyi, 9 Novembre 2004;

Descrizione: Mikko Hypponen, 9 Novembre 2004;

F-Secure Corporation