Centro de Seguridad de Bitdefender

Centro de Seguridad de Bitdefender


Win32.MyDoom.F@mm

Propagación : high
Daño : high
Size: 26000 + max. 8096 bytes
Detectado : 2004 Feb 20

SYMPTOMS:

- The registry key HKLM/HKCU_\\Software\\Microsoft\\Windows\\CurrentVersion\\Shell;
- Activity on port 1080.

TECHNICAL DESCRIPTION:

This mass-mailer was written in Visual C++ 7 and packed with UPX 1.24.

It arrives in an email in the following format:

From: [forged email address]
Subject: with a 8% chance the subject line consists of 3 to 17 random letters; otherwise (92% chance) it is one of the following:
test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration Confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For your information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your order is being processed
Your request was registered
Your order was registered
Re: (censored)
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal file sharing...
Thank You very much
hi, it\'s me
Approved
Re: Approved
Details
Re: Details
Thank you
Re: Thank you
Announcement
(sometimes - 60% chance - the first letter of the above texts is capitalized; or - 10% chance - the entire subject line is capitalized).

Body: One of the following:
test
Details are in the attached document. You need Microsoft Office to open it.
See the attached file for details
Please see the attached file for details
The document was sent in compressed format.
Check the attached document.
Everything ok?
OK
Okay
I\'m waiting
Read the details.
Here is the document.
I wait for your reply.
Is that from you?
Is that yours?
You are a bad writer
I have your password :)
Something about you
Kill the writer of this document!
We have received this document from your e-mail.
Here it is
See you
Greetings
Information about you
Please, reply
Reply
Take it
You are bad

Attachment: One of the following:
- [name].exe file (13% chance);
- [name].zip file (34.8% chance);
- [name].{txt, doc, htm, rtf, xls, jpg, gif, png}[40 to 159 spaces].{pif, scr, exe} (52.2% chance).
In 12% of cases, [name] is made up of 3 to 7 random characters; in the other 88% of cases, it is one of the following:
msg
doc
document
readme
text
file
data
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
note
notes
product
bill
check
ps
money
about
story
mail
list
joke
jokes
friend
site
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo

When first run, it creates HKLM/HKCU_\\Software\\Microsoft\\Windows\\CurrentVersion\\Shell; this will be checked to see if the virus is already installed; a thread is created; in 70% of cases, this thread displays one of the following messages:

File is corrupted.

File cannot be opened.

Unable to open specified file.

In the other 30% of cases, it creates a temporary file named \"Mail\", \"Body\", \"Text\" or \"Data\", fills it with random rows of text and opens it with Notepad; when the user closes Notepad, the temporary file is deleted.

A mutex called \"jmydoat[computer name]mtx\" is used to avoid running multiple copies of the virus.

It drops and executes a DLL with a name of 4 to 8 random letters in the system folder (or in the folder for temporary files). This DLL has the following functionality:

- on Win9x systems, calls the RegisterServiceProcess function to hide the process;

- opens a backdoor server on port 1080; a connecting user can send an executable file that the backdoor will save and run; she can also order the infected machine to connect to a specified host and port and await commands on that connection;

- terminates processes that contain the following substrings in the name: \"reged\", \"taskmo\", \"taskmg\", \"avp.\", \"avp32\", \"norton\", \"navapw\", \"navw3\", \"intrena\", \"mcafe\".

The virus copies itself in the system folder (or the temporary folder) with a name of 4 to 13 random letters (with \".exe\" extension); it appends a maximum of 8096 random bytes at the end of the file (offset 26000) so that the copy is not identical to the original version. An entry with a random name of 4 to 8 letters in the HKLM/HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run key is created and pointed to the copy of the virus in the system/temp folder; this way, the virus will be run at start-up.

If the day of the month is between 17 and 22 and the computer is connected to the Internet, the virus creates a thread that will flood www.riaa.com (or riaa.com) in 33% of cases or www.microsoft.com (or microsoft.com) in 67% of cases. 64 threads are used to connect to the flooded website; after the main thread ends the connection with the flooded site, it waits for 1 minute and then loops (recreates 63 more connecting threads and reconnects itself).

The virus manages a list of email addresses that are gathered from the user\'s files; a thread monitors this list and sends email to the addresses in the lists, while the main thread adds addresses to the list by scanning the files.

The following files and folders are scanned:

- file c:\\init;
- Windows Address Book (WAB);
- Temporary Internet Files folder (5 levels of depth);
- fixed drives and ramdisks (15 levels of depth);
- all drives (5 levels of depth).

The following files are scanned for email addresses: files matching the masks: *., *.htm*, *.sht*, *.php*, *.asp* , *.dbx*, *.adb*, *.eml*, *.pl, *.msg*, *.vbs*, *.mht*, *.uin*, *.rtf*, *.ods*, *.mmf*, *.ncx*, *.mbx* with a maximum size of 204800 bytes; files *.txt with a maximum size of 81920 bytes; files *.tbb* files (The Bat! email archives) with a maximum size of 1228800 bytes; *.wab* files (Windows Address Book files) with a maximum size of 8388608 bytes; files matching the mask *inbox*.

Email addresses containing the following substrings will be avoided: avp, syma, icrosof, msn., hotmail, panda, sopho, borlan, inpris, example, mydoma, nodoma, ruslis, .gov, gov., .mil, foo., suppo, essagela, nai.co, isi.e, isc.o, secur, .acketst, pgp, ibm.com, google, kernel, linux, fido, usenet, sourcef, slashdot, sun.com, sgi.com, solaris, irix, iana, ietf, rfc-ed, sendmail, arin., ripe., berkeley, unix, math, bsd, mit.e, gnu, fsf., tanford.e, utgers.ed, mozilla, spam, admin, support, ntivi, listserv, certific, accoun, contact, master; email addresses beginning with spm, www, secur, abus, root, info, samples, noone, nobody, nothing, anyone, someone, your, you, me, bugs, rating, site no, somebody, privacy, service, help, not, submit, feste, ca, gold-certs, the.bat will also be avoided.

Files matching the following masks have a chance of being deleted when found: *.mdb* (98% chance), *.doc* (40%), *.xls* (60%), *.sav* (95%), *.jpg* (89%), *.avi* (10%), *.bmp* (15%).

In 40% of cases, or if the pathname of the folder that is scanned contains \"shar\" or \"startup\", or if it contains \"start\" and with a chance of 20%, the virus creates a zipped (75% chance) or plain (25% chance) copy of itself in that folder; the name of the copy contains 4 to 13 random letters and the \".zip\" or \".exe\" extension.

The virus will wait for approx. 32 seconds before restarting the scanning sequence.

The thread that sends email checks to see if the machine is connected to the Internet; it makes sure the list of target email addresses doesn\'t exceed 4096 entries; if there are more than 3 entries in the list, after 12 seconds of inactivity it will add a random email address to the list: {john, alex, james, sam, jim, smith, bill, jerry}@[domain of another address in the list].

The virus uses internal SMTP functions to send emails. It attempts to DNS-resolve the domain-part of the email address and use that host as an SMTP server; if it fails, it uses the user\'s configured SMTP server.

The thread that sends emails will pick a random entry in the list of target addresses, compose an email in the format described above and send it; another entry in the addresses list (or the address [3 to 5 random letters]@{aol.com, msn.com, yahoo.com, hotmail.com}, in 18% of cases) is used to forge the sender\'s address.

Removal instructions:

Automatic Removal
Let BitDefender delete infected files.

ANALYZED BY:

Bogdan Dragu
BitDefender Virus Researcher
Eliminación premium de virus y spyware
Limpieza de malware de una vez por nuestros profesionales certificados
Herramientas gratuitas y herramientas de eliminación gratuitas
¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
Centro de Seguridad de Bitdefender
Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

Serie de e-guías Bitdefender

La serie de e-Guías Bitdefender es una iniciativa de aprendizaje destinada a proporcionar al lector de Bitdefender y a la comunidad de usuarios información valiosa sobre las e-amenazas y los problemas de la seguridad en el campo de la tecnología de la información y las comunicaciones, a la vez que ofrecen consejos prácticos y soluciones factibles para la defensa online que necesitan. Los analistas de seguridad de Bitdefender® comparten su conocimiento en la prevención de malware, identificación y eliminación, imprimiendo un énfasis especial en la privacidad online y las distintas tecnologías, contramedidas y diversos métodos de prevención del cibercrimen que existen.

La serie de e-guías está diseñada para una extensa audiencia de pequeñas empresas y usuarios individuales preocupados por la seguridad e integridad de sus redes y sistemas, y se tratan temas que van desde la protección online de la familia y los niños, hasta las redes sociales seguras y la prevención de las violaciones de seguridad de los datos para asegurar los entornos empresariales. Estas e-guías también se ocupan de cuestiones relacionadas con la actividad diaria de los directores de seguridad de los sistemas IT&C, administradores de red y sistemas, desarrolladores de tecnología de la seguridad, analistas e investigadores.

Guía para publicar un blog con seguridad

Consejos y trucos sobre cómo mantener su blog y su identidad a salvo

Safe Blogging Guide

Publicar en blogs es una de las formas más populares de expresarse por escrito en la Web, con más de 150 millones de blogs indexados en todo el mundo. Mientras que los lectores normales buscan información y artículos, los ciberdelincuentes muestran un interés bien distinto en ellos. Encontrar información privada y conseguir espacio de almacenamiento barato para sus campañas de malware son sólo dos de las múltiples motivaciones por las que otros pueden interesarse en su blog.

Este material aborda las directrices básicas para gestionar blogs de forma segura y se centra especialmente en los blogs de particulares que son hospedados por ellos mismos o proporcionados como servicio por los principales proveedores de blogs.



Guía para asegurar redes inalámbricas (wireless)

Consejos y trucos para blindar su red doméstica frente a los intrusos

Securing Wireless Networks Guide

Este documento está dirigido a los usuarios de equipos que han implementado o planean implementar una red inalámbrica doméstica. Ahora que la comunicación inalámbrica se ha convertido en una parte importante de nuestras vidas, los ciberdelincuentes intentar explotar cualquier brecha de seguridad en la configuración inalámbrica para interceptar el tráfico o usar la conexión a Internet con fines ilegales.

La siguiente guía le enseñará las mejores prácticas a la hora de usar redes inalámbricas no seguras, además de cómo configurar correctamente su router doméstico o punto de acceso para evitar que otros hagan un mal uso de su red.



Guía online para proteger a sus hijos

Cómo asegurar y defender la experiencia digital de sus niños


Este documento está dirigido a las familias, padres y profesores para ayudar a asegurar las actividades digitales de los niños y adolescentes. En una época en la que la producción en masa y el acceso a los ordenadores han convertido a estos dispositivos en un electrodoméstico más de todos los hogares, los niños se familiarizan con los PCs e Internet desde muy temprana edad. A pesar de sus obvios beneficios relacionados con la comunicación, la Web también puede ser un lugar peligroso para los niños, con e-amenazas orientadas específicamente a su grupo de edad y a los ordenadores del colegio o del hogar.

Esta e-guía cubre los principales riesgos y peligros online para los niños, como el ciberacoso, el acceso a contenido inadecuado, la adicción online y otras acciones online perjudiciales, a la vez que se centra en asuntos tales como el malware, phishing, robo de identidades y spam, a los cuales los adolescentes, al igual que otros usuarios de Internet, están expuestos a diario. La sección de Consejos de seguridad ayuda a los padres y a los profesores a comprender mejor y tratar con estos problemas en relación con los niños.



Guía de seguridad online para los navegantes más mayores

Cómo proteger las ideas y activos de valor contra el hacking


Este documento está dirigido a las familias y personas mayores con el objetivo de ayudarles a navegar de forma segura por la Web y disfrutar de sus actividades online.

A primera vista, pudiera parecer que las personas mayores están tan expuestas al cibercrimen como otros usuarios de Internet sin experiencia, independientemente de su edad. Sin embargo, como muestra esta e-guía a lo largo de diversos casos de estudio, hay varios riesgos y peligros que apuntan directamente a los navegantes más mayores, como son el cobro de pensiones, métodos falsos de pago de impuestos o estafas relacionadas con los ingresos. Junto con los casos de estudio se adjuntan consejos, ejemplos y trucos que ofrecen a sus lectores directrices útiles en las que basarse en su rutina diaria.



Guía de Prevención de Violaciones de los Datos

Cómo proteger las ideas y activos de valor contra el hacking


La e-guía ha sido diseñada para cubrir los diversos puntos de perjuicio para la seguridad de los datos de las empresas, desde cuestiones tales como la integridad física de las redes, hasta los complicados mecanismos del cibercrimen orientado a las empresas (por ejemplo, troyanos bancarios, phishing, etc.). Este material está también concebido para relacionar, aunque no con el detalle de una descripción completamente técnica, las funciones de las diversas soluciones Bitdefender orientadas a las empresas y particulares con las situaciones en las que pueden resultar de ayuda para los administradores de TI.

Consultar este documento resultará muy útil en el proceso de decidir qué es lo mejor para la seguridad en los entornos de red de pequeñas y medianas empresas, y también para crear unos fundamentos sólidos para la investigación comparativa en profundidad sobre este asunto.

Eliminación premium de virus y spyware
Limpieza de malware de una vez por nuestros profesionales certificados
Herramientas gratuitas y herramientas de eliminación gratuitas
¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
Centro de Seguridad de Bitdefender
Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

Libro Blanco

Eliminación premium de virus y spyware
Limpieza de malware de una vez por nuestros profesionales certificados
Herramientas gratuitas y herramientas de eliminación gratuitas
¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
Centro de Seguridad de Bitdefender
Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

Informe del panorama de e-amenazas Bitdefender

El propósito de este informe es proporcionar una investigación exhaustiva del escenario de amenazas. Los expertos de seguridad de Bitdefender® analizan y examinan a fondo las amenazas de cada semestre, centrándose en las vulnerabilidades y exploits, distintos tipos de malware, además de en contramedidas, prevención de ciberdelincuencia y cumplimiento de regulaciones. El escenario de e-amenazas se concentra principalmente en las últimas tendencias, pero también contiene hechos y datos relativos a los periodos analizados anteriormente, además de diversas predicciones sobre los semestres venideros. Este documento está pensado principalmente para los Directores de Seguridad de los Sistemas TIC, Administradores de Sistema y Red, Desarrolladores de Tecnología de Seguridad, Analistas e Investigadores, pero también contempla cuestiones relativas a un público más amplio, como pequeñas organizaciones o usuarios particulares preocupados por la seguridad e integridad de sus redes y sistemas.

Informe Panorama de E-Amenazas H2 2012 - Resumen

En la primera mitad del año, las vulnerabilidades de día cero jugaron un papel fundamental en la distribución del malware con packs exploit como vector de infección favorito. El peligroso exploit de día cero en el Java Runtime Environment (CVE-2012-4681) se documentó y se añadió una prueba de concepto a Metasploit, que se puso en conocimiento del público antes de que hubiera disponible un remedio (fix).

El resultado directo fue que 3.000 millones de dispositivos que ejecutaban Java fueron vulnerables a la utilización de código remoto durante al menos 48 horas. Se produjo un segundo ataque en septiembre dirigido a Internet Explorer 9. La explotación malintencionada adecuada permitiría poner en compromiso el sistema con la instalación de la puerta trasera Poison Ivy. Ambos exploits de día cero se usaron en ataques persistentes avanzados.

2012 fue testigo de fluctuaciones en la cantidad de correos no deseados en cuanto a su proporción con respecto al tráfico de correo ordinario. El año comenzó con un ligero descenso en el correo spam, pero éste ganó terreno a un ritmo constante hasta mediados de año. Según los datos recopilados en el laboratorio antispam de Bitdefender, el segundo semestre registró nuevamente un crecimiento, con pequeñas variaciones hacia finales de 2012. El incremento de los correos no deseados fue sin embargo menor, solamente en un 5%, llegando a constituir un valor aproximado del 73% de los mensajes enviados en todo el mundo.

Descargar ahora la completa Informe Panorama de E-Amenazas H2 2012 (pdf)

Descargar el informe Informe Panorama de e-amenazas H2 2012 - Resumen ejecutivo (pdf)


Archivo Comprimido

2012
Descargar ahora Informe Panorama de E-Amenazas H1 2012 (pdf)

2011
Descargar ahora Informe Panorama E-Amenazas H1 2011 - Resumen Ejecutivo (pdf)
Descargar ahora Informe Panorama de E-Amenazas H2 2011 (pdf)
Descargar ahora Informe Panorama E-Amenazas H2 2011 - Resumen Ejecutivo (pdf)

2010
Descargar ahora Informe Panorama E-Amenazas H2 2010 - Resumen Ejecutivo (pdf)
Descargar ahora Informe Panorama de E-Amenazas H2 2010 (pdf)
Descargar ahora Informe Panorama E-Amenazas H1 2010 - Resumen Ejecutivo (pdf)
Descargar ahora Informe Panorama de E-Amenazas H1 2010 (pdf)

2009
Descargar ahora Resumen Ejecutivo de Revisión de Malware y Spam H1 2009 (pdf)
Descargar ahora Informe Panorama de E-Amenazas H1 2009 (pdf)
Descargar ahora Revisión de Malware y Spam H2 2009 (pdf)
Descargar ahora Informe Panorama E-Amenazas H2 2009 - Resumen Ejecutivo (pdf)

2008
Descargar ahora Informe Panorama de E-Amenazas H1 2008 (pdf)
Descargar ahora Informe Panorama de E-Amenazas H2 2008 (pdf)

Eliminación premium de virus y spyware
Limpieza de malware de una vez por nuestros profesionales certificados
Herramientas gratuitas y herramientas de eliminación gratuitas
¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
Centro de Seguridad de Bitdefender
Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.
Eliminación premium de virus y spyware
Limpieza de malware de una vez por nuestros profesionales certificados
Herramientas gratuitas y herramientas de eliminación gratuitas
¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
Centro de Seguridad de Bitdefender
Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

¿A quién preguntar? Debajo tiene una lista de todos nuestros representantes, que estarán encantados de responder a cualquier pregunta que les quiera formular.




Catalin Cosoi
Chief Security Strategist
Head of Communications
+40 212 063 470
publicrelations[at]bitdefender[dot]com



Andrei Taflan
Global PR Manager
+40 212 063 470
publicrelations[at]bitdefender[dot]com


Eliminación premium de virus y spyware
Limpieza de malware de una vez por nuestros profesionales certificados
Herramientas gratuitas y herramientas de eliminación gratuitas
¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
Centro de Seguridad de Bitdefender
Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

Software Antivirus para Usuarios Domésticos
Soluciones de Seguridad Corporativa Bitdefender
Últimas noticias
Herramientas y Recursos