Descrizione Breve

MyDoom.AH è stato rilevato il 9 Novembre 2004. Questo worm sfrutta una vulnerabilità non ancora corretta di Internet Explorer. A differenza degli altri mass-mailing worm, MyDoom.AH non si diffonde tramite allegato ma inserisce solamente un link che punta verso l' Host che ha inviato la mail infetta.

Come Payload MyDoom.AH ha una backdoor controllata tramite IRC che permette al creatore del worm di trasferire ed eseguire programmi nell' Host infetto.

Descizione Dettagliata

Il corpo del worm è un file eseguibile Windows PE compresso con MEW. Il pacchetto compresso ha una dimensione di circa 42 Kb e molto probabilmente è stato scritto direttamente in assembly

Infezione del sistema

Quando il il file del worm viene eseguito, crea una copia di sè nella cartella di sistema di Windows con un nome random che finisce con la stringa '32.exe' e crea una chiave nel registro di sistema per richiamare il proprio file.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Reactor3" = "%SystemDir%\<randomname>32.exe"

%SystemDir% rappresenta il nome della cartella di sistema di Windows per esempio:
C:\Windows\System32 nei sistemi Windows XP

Propagazione E-mail

Il worm si propaga tramite e-mail. Prima della propagazione raccoglie gli indirizzi e-mail dal computer infetto. Il worm legge gli indirizzi dal Windows Address Book, dai file nella cartella Temporary Internet Files e dalla cartella di sistema di Windows. Vengono anche controllati i file con una delle seguenti stringhe nel loro nome:

wab
pl
adbh
tbbg
dbxn
aspd
phpq
shtl
htmb
txt

Usando il proprio motore SMTP MyDoom.AH spedisce e-mail agli indirizzi collezionati in precedenza. Il mittente della e-mail viene falsificato e il contenuto della e-mail viene scelto random tra uno dei seguenti :

Email subjects:

Hello!
Hey!
Hi!

Il corpo della e-mail contiene al suo interno un testo HTML formattato con il seguente link:

Congratulations! PayPal has successfully charged $175 to your credit card.
Your order tracking number is A866DEC0, and your item will be shipped
within three business days

To see details please click this <link>

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by
an automated message system and the reply will not be received.

oppure:

Hi! I am looking for new friends. I am from Miami, FL.
You can see my <homepage> with my last webcam photos!

oppure:

Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my <homepage> with my weblog and last webcam photos!

See you!

L'e-mail non contiene un allegato. Il worm spedisce solamente il link che punta verso l'host infetto. Il formato del link è il seguente:

h**p://<infected host ip>:port/<file_to_dowload>

MyDoom.AH installa sull'Host infetto un Web Server modificato che ascolta sulle porte TCP a partire da 1638 (0x666).

Le email trasmessi da MyDoom.AH contengono un header simile a quella autilizzato da alcuni prodotti Antivirus:

scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Checked for viruses by Gordano's AntiVirus Software
Checked by Dr.Web (http://www.drweb.net)

MyDoom.AH evita di diffondersi verso indirizzi e-mail che contengono una delle seguenti stringhe:

accoun
certific
listserv
ntivi
support
icrosoft
admin
page
the.bat
gold-certs
ca
feste
submit
not
help
service
privacy
somebody
no
soft
contact
site
rating
bugs
me
you
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
samples
info
root

Rilevazione

MyDoom.AH viene rilevato con il seguente aggiornamento di F-Secure Anti-Virus il 9 Novembre 2004 :

[FSAV_Database_Version]

Version=2004-11-09_01

Dettagli Tecnici: Gergely Erdelyi, 9 Novembre 2004;

Descrizione: Mikko Hypponen, 9 Novembre 2004;

F-Secure Corporation