Descrizione Breve

Una nuova variante del worm Mydoom, Mydoom.F, è stata scoperta il 20 Febbraio 2004.

Le sue funzionalità sono simile a quelle della variante originale ma l'obbittivo degli attacchi non è più www.sco.com. Mydoom.F cerca di effettuare in distributed denial of service contro www.microsoft.com e www.riaa.com.

Descrizione Dettagliata

Quando si ricopia il Mydoom.F sovrascrive una parte del proprio codice eseguibile con valori casuali. A partire da 28000 byte dall'inizio il worm scrive un 1kB di dati casuali facendo sembrare il proprio codice variabile.

Alcune delle stringhe contenute sono offuscate usando lo stesso metodo del Mydoom originale, ROT13.

Il worm aggiunge una voce nel registro in:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

contenente:

<stringa di valori casuali> = %sysdir%\<stringa di valori casuali>.exe

Propagazione via Email

Il worm crea delle mail con le seguenti caratteristiche.

Il Soggetto è scelto dalla lista: (alcuni di questi valori sono usati anche dal worm Sober.C)

test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For your information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your order is being processed
Your request was registered
Your order was registered
Re: <censored>
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal File Sharing...
Thank You very very much
hi, it's me
Approved
Re: Approved
Details
Re: Details
Thank you
Re: Thank you
Announcement

Il body del messaggio è scelto fra:

test
You are bad
Take it
Reply
Please, reply
Information about you
Greetings
See you
Here it is
We have received this document from your e-mail.
Kill the writer of this document!
Something about you
I have your password :)
You are a bad writer
Is that yours?
Is that from you?
I wait for your reply.
Here is the document.
Read the details.
I'm waiting
Okay
Everything ok?
Check the attached document.
The document was sent in compressed format.
Please see the attached file for details
See the attached file for details
Details are in the attached document. You need Microsoft Office to open it.

Il nome dell'allegato è scelto fra:

msg
doc
document
readme
text
file
data
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
note
notes
product
bill
check
ps
money
about
story
mail
list
joke
jokes
friend
site
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo

e una delle seguenti estensioni è appesa al nome:

exe
scr
com
pif
bat
cmd

Payload

Oltre al DDos Mydoom.F cerca di cancellare vari file fra i quali immagini, filmati e documenti di Office.

La parte del codice che cancella i file è la stessa che si occupa di raccogliere gli indirizzi di email. IL worm controlla ogni drive da 'C' a 'Z' e in ogni folder contenuto controlla tutti i file presenti effettuando le seguenti azioni:

- Se il file è più piccolo di 40 byte lo ignora.

- Controlla se l'estensione è presente nella seguente lista:

ttxt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.eml
.pl
.msg
.vbs
.mht
.oft
.uin
.rtf
.ods
.mmf
.nch
.mbx
.wab
.mdb

Se l'estensione corrisponde Mydoom.F cerca di estrarre tutti gli indirizzi email contenuti.
- Successivamente l'estensione è confrontata con:

.doc
.xls
.sav
.jpg
.avi
.bmp

Mydoom.F cancella i file con queste estensioni con una probabilità fissa.
Queste probabilità sono elencate nella tabella seguente:

.doc 40%
.xls 60%
.sav 95%
.jpg 8%
.avi 10%
.doc 15%

Quando la scansione dei drive è terminata il worm si ferma per 32 secondi per poi ricominciare.

Rilevazione

Il worm Mydoom.F è riconosciuto da F-Secure Anti-Virus con gli aggiornamenti:

[FSAV_Database_Version]

Version=2004-02-20_02

F-Secure Corporation