Existe una posible infección cuando:

Existe el siguiente archivo en el sistema:

  c:\windows\system\intrenat.exe

Existe la entrada "Gremlin" en alguna de las siguientes claves del registro:

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Análisis:

El gusano es un archivo de 36,864 bytes.

No se propaga por correo electrónico, solo utiliza los puertos abiertos por el gusano Mydoom A y B en los sistemas infectados.

Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:

  c:\windows\system\intrenat.exe

De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Modifica o crea las siguientes entradas en el registro:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Gremlin = c:\windows\system\intrenat.exe

  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Gremlin = c:\windows\system\intrenat.exe

Acciones:

El gusano se propaga entre computadoras ya infectadas con el Mydoom. Utiliza el acceso por puerta trasera instalado por este gusano (algunas de las funciones del Mydoom.A dejan de actuar el 12 de febrero de 2004, pero eso no elimina el backdoor que seguirá activo hasta que sea  eliminado manualmente o con un antivirus).

Para localizar máquinas infectadas con el backdoor activo, el gusano examina direcciones IP al azar, intentando conectarse al puerto TCP/3127.

Si este puerto está abierto, el gusano se envía a si mismo en un paquete de construcción especial, para hacer que el Mydoom.A ejecute el archivo recibido, e infecte la computadora con el Doomjuice.

El archivo se copia como "intrenat.exe" en el directorio del sistema de Windows, y se agrega al registro para su autoejecución en cada nuevo reinicio.

Si se ejecuta después del 8 de febrero, inicia un ataque de denegación de servicio (DoS) al sitio de Microsoft (www.microsoft.com).

Entre el 8 y el 12 de febrero, el gusano aguarda 365 segundos para comenzar el ataque. Después del 12 de febrero, el ataque comenzará enseguida que se ejecute.

Para sobrecargar al sitio de Microsoft, el gusano lanza de 16 a 80 hilos de ejecución simultáneos, que intentan conectarse al sitio web e intentan descargar la página principal en un bucle sin fin.

El gusano copia el código fuente del Mydoom.A en un archivo comprimido, en el directorio raíz de todos los discos duros del sistema, y en el directorio personal del usuario actual con el siguiente nombre:

  sync-src-1.00.tbz

Esta curiosa acción, permite que cualquier se haga del código fuente, y pueda crear sus propias versiones del gusano.

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna "Nombre", la entrada "Gremlin", en las siguientes claves del registro:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run

  HKCU\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run

3. Cierre el editor del registro.

4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

[Información actualizada 09/02/2004, UTC/GMT 21:52]