W32/Mydoom.R. Gusano de gran propagación
Asunto: [uno de los siguientes]
– delivery failed
– Delivery reports about your e-mail
– hello
– hi error
– Mail System Error – Returned Mail
– Message could not be delivered
– report
– Returned mail: Data format error
– Returned mail: see transcript for details
– status
– test
– The original message was included as attachment
The/Your m/Message could not be delivered
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es una parte o toda la dirección de correo a la que se envía, y [extensión] es una de las siguientes:
– .com
– .exe
– .pif
– .scr
– .zip
Ejemplos: Si la dirección es “juan@micorreo.com” el adjunto puede ser alguno de los siguientes:
– juan@micorreo.zip
– micorreo.com
– juan@micorreo.com
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:windowsjava.exe
c:windowsservices.exe
De acuerdo a la versión del sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).
Modifica o crea las siguientes entradas en el registro:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
JavaVM = c:windowsjava.exe
Services = c:windowsservices.exe
HKCUSoftwareMicrosoftDaemon
HKLMSOFTWAREMicrosoftDaemon
Acciones:
El gusano busca direcciones de correo en la máquina infectada y se envía en forma masiva a todas ellas, utilizando su propio motor SMTP (Simple Mail Transfer Protocol), por lo que no depende del cliente de correo instalado.
Las direcciones del remitente son siempre falsas, de modo que los mensajes pueden parecer ser enviados por cualquier persona, que ni siquiera podría estar infectada.
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
4. Elimine bajo la columna “Nombre”, las entradas “JavaVM” y “Services”, en la siguiente clave del registro:
HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
5. Elimine la carpeta “Daemon” en las siguientes claves del registro:
HKEY_CURRENT_USERSoftwareMicrosoftDaemon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDaemon
6. Cierre el editor del registro.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.