Una nuova variante della famiglia di worm Mydoom, Mydoom.B, ha iniziato a diffondersi. Questa variante effettua un attacco di tipo denial of service distribuito contro i siti SCO.COM e Microsoft.com.
Mydoom.B impedisce alle macchine infettate l'accesso ai siti dei produttori di antivirus fra i quali anche www.f-secure.com.

Descrizione dettagliata

Mydoom.B utilizza la stessa tecnica di mascheramento della versione precedente, ROT13, e ne condivide la maggior parte delle caratteristiche.

Il worm copia se stesso nelle seguenti posizioni:

%sysDir%\explorer.exe

e aggiunge le seguenti voci al registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe

o, se fallisce:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe

Mydoom.B installa la propria componente backdoor, encodata all'interno del proprio body e compressa con UPX, nel file:

%sysdir%\ctfmon.dll

viene caricata in explorer con la seguente chiave del registro:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Il worm crea il mutex "sync-v1.01__ipcmtx0" per assicurarsi che non venga esguito piu' volte contemporaneamente.

Il worm contiene il seguente messaggio, che non viene mai visualizzato:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

Diffusione attraverso rete Peer-to-Peer

I seguenti nomi di file sono quando usati quando Mydoom.B si diffonde attraverso Kazaa

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

e l'estensione è scelta fra:

.bat
.exe
.scr
.pif

Propagazione attraverso Mail

Mydoom.B, come la variante precedente, raccoglie gli indirizzi ai quali invia copia di se stesso dall'Address Book di Windows e dai file con estensioni:

wab
pl
adb
dbx
asp
php
sht
htm
txt

Il worm cerca di evitare i metodi comunementi usati nella pagine web per offuscare gli indirizzi di posta elettronica.

I messaggi di posta elettronica inviati da Mydoom.B hanno le seguenti caratteristiche:

Il Soggetto può essere uno dei seguneti:

- The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.

- sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has
been received.

- The message contains Unicode characters and has been sent as a binary attachment.

- The message contains MIME-encoded graphics and has been sent as a binary attachment.

- Mail transaction failed. Partial message is available.

Gli allegati sono creati combinando i seguenti nomi:

document
readme
doc
text
file
data
message
body

con le estensioni:

pif
scr
exe
cmd
bat

Scadenza

Il worm termina la propria esecuzione quando è eseguito dopo il 1 Marzo 2004 alle ore 03:18:42 (UTC)

Payload

Mydoom.B effettua un attacco DDoS contro www.microsoft.com il 3 Febbraio 2004 alle 13:09:18 (UTC) e www.sco.com il 1 Febbraio 2004 alle 16:09:18 (UTC).

L'attacco attiva 7 thread ogni 1024 millisecondo che colpiscono www.sco.com.

Contro www.microsoft.com vengono attivati 13 thread sempre ogni 1024 millisecondi.

Il file hosts viene modificato in modo che gli indirizzi di computer che appartengono a domini di produttori di Anti-Virus e altri siti commerciali siano risolti con l'indirizzo 0.0.0.0 rendendoli in questo modo non raggiungibili.

Il contenuto del file hosts (mantenuto in modo crittato all'interno del worm) è il seguente:

0.0.0.0 engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net

Una ulteriore riga è aggiunta prima della data di inizio dell'attacco contro Microsoft:

0.0.0.0 www.microsoft.com

Questa aggiunta rende il sito inaccessibile. Il 3 Febbraio la riga è rimossa in modo da permettere il DDoS.

La modifica del file hosts ha, probabilmente, lo scopo di impedire agli utenti dei più diffusi Anti-Virus di aggiornare la propria protezione.

Struttura di Mydoom.B.

La seguente immagine mostra brevemente la struttura del worm Mydoom.B, che può essere visualizzata in dettagio nel pdf al link:

http://www.f-secure.com/virus-info/v-pics/mydoom-b.pdf

Rilevazione

F-Secure Anti-Virus è in grado di rilevare Mydoom.B con gli aggiornamenti pubblicati il 28 Gennaio 2004 alle 15:44 GMT.

[FSAV_Database_Version]

Version=2004-01-28_01

Descrizione:Katrin Tocheva, Mikko Hypponen, Ero Carrera 28 Gennaio 2004

F-Secure Corporation