W32/Mydoom.R. Gusano de gran propagación

Asunto: [uno de los siguientes]

– delivery failed
– Delivery reports about your e-mail
– hello
– hi error
– Mail System Error – Returned Mail
– Message could not be delivered
– report
– Returned mail: Data format error
– Returned mail: see transcript for details
– status
– test
– The original message was included as attachment
The/Your m/Message could not be delivered

Datos adjuntos: [nombre]+[extensión]

Donde [nombre] es una parte o toda la dirección de correo a la que se envía, y [extensión] es una de las siguientes:

– .com
– .exe
– .pif
– .scr
– .zip

Ejemplos: Si la dirección es “juan@micorreo.com” el adjunto puede ser alguno de los siguientes:

– juan@micorreo.zip
– micorreo.com
– juan@micorreo.com

Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:

c:windowsjava.exe
c:windowsservices.exe

De acuerdo a la versión del sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

Modifica o crea las siguientes entradas en el registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
JavaVM = c:windowsjava.exe
Services = c:windowsservices.exe

HKCUSoftwareMicrosoftDaemon
HKLMSOFTWAREMicrosoftDaemon

Acciones:

El gusano busca direcciones de correo en la máquina infectada y se envía en forma masiva a todas ellas, utilizando su propio motor SMTP (Simple Mail Transfer Protocol), por lo que no depende del cliente de correo instalado.

Las direcciones del remitente son siempre falsas, de modo que los mensajes pueden parecer ser enviados por cualquier persona, que ni siquiera podría estar infectada.

> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

4. Elimine bajo la columna “Nombre”, las entradas “JavaVM” y “Services”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

5. Elimine la carpeta “Daemon” en las siguientes claves del registro:

HKEY_CURRENT_USERSoftwareMicrosoftDaemon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDaemon

6. Cierre el editor del registro.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Deja un comentario