COMO? VIRUS.
PROPAGACION DE BEAGLE Y MYDOOM
Propagacion de beagle
En su propagación, el 'Beagle' sigue los parámetros habituales: Se difunde
mediante el envío masivo de correo a direcciones que captura en la máquina
infectada. Para ello, precisa el Centro de Alerta Temprana, elude las
direcciones de hotmail, msn y Microsoft y se centra en los ficheros WAB, TXT,
HTM y HTML.
Propagacion de mydoom
Mydoom.A se propaga a través del correo electrónico y del programa de
intercambio de ficheros punto a punto (P2P) KaZaA.
1.- Propagación a través del correo electrónico.
Mydoom.A realiza el siguiente proceso:
• Llega al ordenador afectado en un mensaje de correo de características
variables:
Remitente:
Mydoom.A falsifica la dirección que aparece como remitente del mensaje de correo
que provoca la infección. Esto puede dar lugar a confusiones. Si desea más
información al respecto, pulse aquí.
Asunto: puede ser uno de los siguientes:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Contenido: uno de los siguientes:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
Archivo adjunto: el nombre del archivo es variable, y tiene extensión aleatoria:
Posibles nombres de archivo: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST,
MESSAGE, BODY.
Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP.
Algunas veces, el archivo adjunto tiene doble extensión. En ese caso, la primera
extensión siempre será una de las siguientes: HTM, TXT o DOC.
• Cuando el archivo adjunto es ejecutado, el ordenador quedará
afectado.
• Mydoom.A busca direcciones de correo en archivos que tengan las siguientes
extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.
• Mydoom.A se envía a sí mismo a todas las direcciones que encuentre y a todos
los contactos de la Libreta de direcciones de Windows, utilizando su propio
motor SMTP.
Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores
de correo, que se componen añadiendo los siguientes prefijos al dominio de
correo del destinatario: gate., mail., mail1., mx., mx1., mxs., ns., relay.,
smtp..
• Sin embargo, no se envía a las direcciones que presenten las siguientes
características:
- El dominio contiene una de las siguientes cadenas de texto: .gov, .mil,
acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu,
google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e,
kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed,
ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
- El nombre de la dirección es una de las siguientes: anyone, bugs, ca, contact,
feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page,
postmaster, privacy, rating, root, samples, service, site, soft, somebody,
someone, submit, the.bat, webmaster, you, your.
- La cuenta de correo contiene alguna de las siguientes cadenas: admin, icrosoft,
support, ntivi, unix, bsd, linux, listserv, certific, google, accoun.
2.- Propagación a través de KaZaA.
Mydoom.A realiza el siguiente proceso:
• Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias
tienen nombre variable, que consisten en un nombre de archivo y extensión
aleatorios:
Posibles nombre de archivo: WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES,
ROOTKITXP, OFFICE_CRACK, NUKE2004.
Posibles extensiones: PIF, SCR, BAT, EXE.
• Otros usuarios de este programa podrán acceder de manera remota a este
directorio compartido. Así, se descargarán voluntariamente en su ordenador
alguno de los archivos creados por Mydoom.A, pensando que se trata de
aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando
en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados
por Mydoom.A.