Descrizione breve
Una nuova variante del worm MyDoom, MyDoom.BB, è stata rilevata
il 17 febbraio 2005. Il worm utilizzaza metodi di propagazione del tutto
simili alle varianti precedenti.
Descrizione Dettagliata
Mydoom.BB si propaga via email come file eseguibile
Windows PE compresso con MEW.
Infezione del Sistema
Una volta eseguito, il worm copia se stesso come java.exe nella cartella
di sistema di Windows, ed installa una backdoor che rimane in ascolto
sulla porta 1034. Il file della backdoor ha nome "services.exe".
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"JavaVM" = "%WinDir%\java.exe"
MyDoom.BB aggiunge nel registro di sistema la seguente chiave
[HKLM\Software\Microsoft\Daemon]
Il worm crea anche un mutex con nome:
%hostname%root
per evitare che vengano eseguite più copie del worm simultaneamente.
Il nome del mutex viene convertito con lettere maiuscole prima dell'installazione.
Propagazione E-mail
Il worm si propaga tramite e-mail, e ricerca gli indirizzi e-mail dal
Windows Address Book del computer infetto.Vengono anche controllati i
file con una delle seguenti estensioni
pl.
ph.
tx.
ht.
asp
sht
adb
dbx
wab
Inoltre ricerca gli indirizzi interrogando i seguenti motori di ricerca:
search.lycos.com
www.altavista.com
search.yahoo.com
www.google.com
Il worm non spedisce e-mail verso indirizzi e-mail contenenti le seguenti
sottostringhe:
mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
feste
help
soft
site
rating
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
Da notare che questo Worm utilizza una procedura perfezionata per il
riconoscimento degli indirizzi e-mail. Adesso può rintracciare
indirizzi e-mail simili ai seguenti:
peter@nospam.domain.com
peter-at-domain-dot-com
peter at domain dot com
peter[at]domain[dot]com
Questi indirizzi vengono tradotti dal worm in modo da essere utilizzabili.
Il worm si diffonde tramite messaggi e-mail. Le e-mail vengono composte
con soggetto, corpo ed eventuali parti aggiuntive scelte in modo casuale.
il soggetto viene scelto tra uno dei seguenti:
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
il corpo della mail viene scelto tra uno dei seguenti:
{{The|Your} m|M}essage could not be delivered
The original message was included as attachment
The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}
----- The following addresses had permanent fatal errors -----
{<$t>|$t}
{----- Transcript of {the ||}session follows -----
.... while talking to {host |{mail |}server ||||}{$T.|$i}:
{>>> MAIL F{rom|ROM}:$f
<<< 50$d {$f... |}{Refused|{Access d|D}enied|{User|Domain|Address}
{unknown|blac
klisted}}|554 <$t>... {Mail quota exceeded|Message is too large}
554 <$t>... Service unavailable|550 5.1.2 <$t>... Host unknown
(Name server: hos
t not found)|554 {5.0.0 |}Service unavailable; [$i] blocked using {relays.osirus
oft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<$t>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <$t>... {User unknown|Invalid
recipient|Not kno
wn here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}<<< 400}|}
{The|This|Your} message was{ undeliverable| not delivered} due to the
following reason{(s)|}:
Your message {was not|could not be} delivered because the destination
{computer|
server} was {not |un}reachable within the allowed queue period. The amount
of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message {was not|could not be} delivered within $D days:
{{{Mail s|S}erver}|Host} $i is not responding.
The following recipients {did|could} not receive this message:
<$t>
Please reply to postmaster@{$F|$T}
if you feel this message to be in error.
Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration}
o
f $T would like to {inform you{ that{,}|}|let you know {that|the following}{.|
,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account
{ha
s been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|ju
nk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had
been|was}
{compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a
{trojan{e
d|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|}
{in t
he {attachment|attached {text |}file} |}in order to keep your computer
safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{$T {user |technical |}support team.|The $T {support |}team.}
Le parole racchiuse nelle brackets forniscono una certa variazione al
testo del corpo di messaggio. Per esempio, uno dei messaggi finali può
avere il seguente aspetto:
The message was not delivered due to the following reason:
Your message could not be delivered because the destination computer
was unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message could not be delivered within 30 days:
Host mail.testnet is not responding.
The following recipients did not receive this message:
johndoe@testnet
Please reply to postmaster@testnet
if you feel this message to be in error.
Il nome dell'allegato viene scelto tra uno dei seguenti:
readme
instruction
transcript
mail
letter
file
text
attachment
document
con una delle seguenti estensioni:
scr
pif
exe
com
bat
cmd
Payload
Quando il worm viene eseguito cerca di scaricare ed eseguire file aggiuntivi
prima di eseguire il componente principale. Il file è una backdoor
rilevata con nome 'Backdoor.Win32.Surila.o'.
Il worm fà cadere i componenti della backdoor che ascoltano sulla
porta 1034/TCP. Collegandosi alla porta l'autore del worm può ottenere
la lista dei computer infetti.
Il worm tenta di aprire gli oggetti di Windows e cerca di terminare i
processi di Outlook e Internet Explorer se questi sono in esecuzione.
Tenta di fare questo trasmettendo i messaggi WM_quit, WM_close e WM_destroy.
Rilevazione
La rilevazione di Mydoom.BB è stata rilasciata il 17 Febbraio 2005
con i seguenti aggiornamenti:
[FSAV_Database_Version]
Version=2005-02-16_01
Dettagli Tecnici:Mikko Hypponen, 17 Febbraio 2005
F-Secure Corporation
|
