Herramienta contra el virus W32.Novarg.A@mm (alias Win32.Mydoom.A WORM_MIMAIL.R) de tipo Ejecutable Backdoor Mass Mailer.

Este gusano se está comenzando a propagar rápidamente, viene incluido como un archivo zip adjunto en los correos electrónicos y tiene funciones de backdoor.

El síntoma que te advierte de la presencia del gusano es tener siguientes archivos en la carpeta %sysdir%:
taskmon.exe
shimgapi.dll

La siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon con el valor %sysdir%\taskmon.exe

Llega en el siguiente formato:

De:
%rand%@%domains%
donde %domains% puede ser uno de los siguientes
aol.com
msn.com
yahoo.com
hotmail.com

o una serie aleatoria de caracteres.

El asunto es elegido al azar del siguiente listado:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

El cuerpo de texto pueden ser caracteres aleatorios o una de las siguientes series de caracteres:

test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

El adjunto es elegido al azar del siguiente listado:
document
readme
doc
text
file
data
test
message
body

con una de las siguientes extensiones:
exe, pif, scr, bat, com
o doble extension:
htm.%una de las extensiones de arriba%
txt.%una de las extensiones de arriba%
doc.%una de las extensiones de arriba%

Cuando el usuario abre el adjunto, el gusano crea un objeto mutex con el nombre SwebSipcSmtxS0 y abre un bloc de notas con un contenido binario aleatorio.

Crea un fichero dll en %sysdir%\shimgapi.dll. Este fichero dll es el componente backdoor.

Se copia a sí mismo en %sysdir%\taskmon.exe y agrega la siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon con el valor %sysdir%\taskmon.exe

Realiza ataques DoS en www.sco.com.

Se copia a sí mismo en la carpeta compartida de KaZaA con uno de los siguientes nombres:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5

y con extensiones elegidas al azar del siguiente listado:
exe, scr, pif, bat

Busca direcciones de correo en los ficheros con las siguientes extensiones:
htm
sht
php
asp
dbx
tbb
adb
wab
txt

Primeramente, la búsqueda se realiza en la carpeta Archivos Temporales de Internet para asegurar una rápida propagación inicial y luego busca las direcciones de correo en todas las unidades locales encontradas.

Omite las direcciones de correo que contienen las siguientes series de caracteres:
.edu, abuse, fcnz, spm, www, secur

Espera conexiones en el puerto TCP 3127.