Sítio do Piropo

B. Piropo

Assunto Referente :
Volte
09/08/2004
Verme MyDoom.M
Referente a: O Globo

As informações abaixo foram obtidas nos sítios dos desenvolvedores de programas anti-vírus Symantec (NAV), Sophos e McAfee.

Nome: W32.Mydoom.M@mm / W32/Mydoom.O@MM / W32/Mydoom-O / WORM_MYDOOM.M / Win32.Mydooom.O

Tipo: verme

Sistemas que contamina: Windows 95 /98 / 2000 / Me / NT / XP / Server 2003

Transmissão: chega na forma de um arquivo anexo a uma mensagem de correio eletrônico criada pelo próprio verme. O nome do arquivo anexo é gerado pelo próprio verme, em geral baseado em um nome de domínio encontrado no disco rígido da própria máquina afetada. Por exemplo, se o verme encontra um endereço como [email protected], o nome do arquivo anexo pode conter o texto “exemplo.com.br”. Adicionalmente o vírus pode gerar um dos seguintes nomes para o arquivo anexo: readme; instruction; transcript; mail; letter; file; text; attachment; document; message. Combinados com quaisquer das seguintes extensões: .cmd; .bat; .com; .exe; .pif; .scr; .zip
e, eventualmente, com uma segunda extensão dentre as abaixo: doc; txt; htm; html

O tamanho do arquivo anexo, em bytes, é variável.

O endereço do remetente da mensagem pode ser qualquer um colhido na máquina contaminada. No entanto nenhuma mensagem será enviada a endereços que contenham uma das seguintes expressões: mailer-d; spam; abuse; master; sample; accou; privacycertific; bugs; listserv; submit; ntivi; support; admin; page; the.bat; gold-certs; feste; not; help; foo; soft; site; rating; you; your; someone; anyone; nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net; sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.; foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk; panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp;

O objetivo é evitar alertar os desenvolvedores de programas antivírus que uma nova variante está circulando.

A linha “Assunto” conterá um dos seguintes:
hello; error; status; test; report; delivery failed; Message could not be delivered; Mail System Error - Returned Mail; Delivery reports about your e-mail; Returned mail: see transcript for details; Returned mail: Data format error

O corpo da mensagem também varia. Será gerado a partir da combinação de um dos trechos separados por um “|” de cada trecho contido entre colchetes no texto abaixo:
Dear user {<recipient's email address>|of <recipient's email domain>},{ {{M|m}ail {system|server} administrator|administration} of <recipient's email domain> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||} {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week. {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server. {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe. {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, {<recipient's email domain> {user |technical |}support team.|The <recipient's email domain> {support |}team.}

Ou ainda do texto:
{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}: Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Ou do texto:
Your message {was not|could not be} delivered within <random number> days: {{{Mail s|S}erver}|Host} <host used to send the email>} is not responding. The following recipients {did|could} not receive this message: <<recipient's email address>> Please reply to postmaster@{<sender's email domain>|<recipient's email domain>} if you feel this message to be in error. The original message was received at [current time]{ | }from {<sender's email domain> ]|{<host used to send the email>]|]}} ----- The following addresses had permanent fatal errors ----- {<<recipient's email address>>|<recipient's email address>} {----- Transcript of {the ||}session follows ----- ... while talking to {host |{mail |}server ||||}{<recipient's email domain>.|<host used to send the email>]}: {>>> MAIL F{rom|ROM}:[From address of mail] <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<recipient's email address>>... {Mail quota exceeded|Message is too large} 554 <<recipient's email address>>... Service unavailable|550 5.1.2 <<recipient's email address>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} Session aborted{, reason: lost connection|}|>>> RCPT To:<<recipient's email address>> <<< 550 {MAILBOX NOT FOUND|5.1.1 <<recipient's email address>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}<<< 400}|} The original message was included as attachment

Ou, finalmente, de:
{{The|Your} m|M}essage could not be delivered

Como se vê, qualquer uma das mensagens pode ser confundida com alertas gerados automaticamente por servidores de correio eletrônico quando alguma irregularidade é encontrada. Os desenvolvedores de vírus concluíram que usuários em geral concedem maior credibilidade a mensagens “geradas por computador” e por isso são mais facilmente convencidos a abrir o arquivo anexo.

Quando o arquivo anexado é aberto, o verme executa as seguintes ações:

Cria as seguintes chaves no Registro para identificar que o computador está contaminado: “HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon” e “HKEY_CURRENT_USER\Software\Microsoft\Daemon”;
Copia seu próprio código com o nome “Java.Exe” no diretório %WINDIR% (correspondente ao diretório de instalação de Windows, geralmente C:\WINDOWS);
Grava no mesmo diretório o arquivo “Services.Exe” (o executável da “backdoor” Zincite.A). Ao ser executado esse arquivo abre a porta TCP 1034 e aguarda conexões remotas através dela. Adicionalmente, gera endereços IP aleatórios e verifica se encontra neles portas TCP abertas. Se positivo, grava o endereço em um arquivo que será enviado quando a conexão aguardada for estabelecida;
Instala a “backdoor” Backdoor.Zincite.A, que mantém aberta a porta TCP 1034;
Cria, na chave do Registro: “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run” os seguintes valores: “Services” = “%Windir%\services.exe” e “JavaVM” = “%Windir%\java.exe” (onde %WINDIR% é a via do diretório correspondente à pasta de instalação de Windows, geralmente C:\WINDOWS”). Isso assegura que tanto o verme quanto a “backdoor” serão executados a cada nova inicialização da máquina;

Em execução, procura nos discos rígidos por arquivos com as extensões:

e os inspeciona à procura de endereços de correio eletrônico (.wab é o caderno de endereços de Windows, .dbx corresponde a arquivos de mensagens do Outlook Express);

Finalmente (e isso é o que o torna especialmente virulento e diferente dos demais vermes conhecidos), acessa os dispositivos de busca:

à procura de endereços de correio eletrônico. Para cada endereço encontrado, gera e envia uma mensagem com as características descritas anteriormente.


Instruções para remoção:

A forma mais eficaz é usar um dos programas desenvolvidos especialmente para este fim e disponíveis gratuitamente na Internet. Alguns exemplos:

a) FxMydoom.Exe da Symantec, encontrada em http://securityresponse.symantec.com/avcenter/FxMydoom.exe
b) Stinger, da MacAfee, encontrado em: http://vil.nai.com/vil/content/v_127033.htm (na página, procurar pelo atalho “Download Stinger”)
c) MYDOOGUI da Sophos, encontrado em: http://www.sophos.com/support/disinfection/mydooma.html (na página, procurar pelo atalho “MYDOOGUI ”)

B. Piropo