www .richcolour .com
zenandjuice .com

Estos sitios no están relacionados con los creadores del virus. El archivo descargado es un .GIF o un .JPG, que es copiado con el siguiente nombre en la carpeta de Windows:

winvpn32.exe

Cuando se ejecuta, oculta su actividad en la máquina infectada, mientras se instala como un servidor proxy HTTP, y como un servidor relay de SMTP (permite el reenvío de spam). Para ello utiliza un remitente falso, con alguno de los siguientes dominios:

@aol.com
@gmx.net
@hotmail.com
@mail.com
@msn.com
@t-online.de
@yahoo.co.uk
@yahoo.com

Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios, todos ellos pertenecientes a fabricantes de antivirus:

avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com

Intenta conectarse a numerosos servidores IRC desde donde espera recibir determinados comandos.

Las direcciones IP y los puertos a los que intenta conectarse son los siguientes:

193.19.227.24:4661
205.209.176.220:4661
207.44.142.33:4242
207.44.206.27:4661
207.44.222.47:4661
211.214.161.107:4661
211.233.41.235:4661
212.199.125.36:8080
213.158.119.104:4661
216.127.94.107:4661
218.78.211.62:4661
62.241.53.15:4242
62.241.53.16:4242
62.241.53.17:4242
62.241.53.2:4242
62.241.53.4:4242
64.246.16.11:4661
64.246.18.98:4661
64.246.54.12:3306
65.75.161.70:4661
66.111.43.80:4242
66.90.68.2:6565
66.98.144.100:4242
66.98.192.99:3306
67.15.18.45:3306
67.15.18.57:3306
69.50.187.210:4661
69.50.228.50:4646
69.57.132.8:4661
80.64.179.46:4242
81.23.250.167:4242
81.23.250.169:4242

Utiliza los siguientes puertos para estas conexiones:

3306
4242
4242
4661
8080

Cuando se ejecuta, se copia en la carpeta de inicio del equipo infectado:

[carpeta de inicio]\dx32hhlp.exe

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders

Esto puede ser una de las siguientes carpetas:

* Windows XP, 2000 (español e inglés)

c:\documents and settings
\all users\menú inicio\programas\inicio

c:\documents and settings
\all users\start menu\programs\startup

El troyano crea también los siguientes archivos, el segundo es usado para sus acciones de ocultamiento:

c:\windows\system32\dx32hhlp.exe
c:\windows\system32\dx32hhec.sys

Este componente se instala como un servicio en el equipo de la víctima:

HKLM\SYSTEM\CurrentControlSet\Services\dx32hhec
HKLM\SYSTEM\CurrentControlSet\Services\legacy_dx32hhec

Cuando este servicio se ejecuta, el mismo no puede ser detectado por un antivirus en un modo de escaneo convencional.

También crea las siguientes entradas en el registro:

HKLM\Software\Microsoft\Internet Explorer
mutexadmin = "1"
mutexname = [letras al azar]
vers = 0x0001003d

El troyano abre otros puertos TCP al azar.


Método de limpieza

Ver: W32/Mydoom.T. Asunto del mensaje: "photos"
http://www.vsantivirus.com/mydoom-t.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com