¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Agobot.97918
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:97.918 Bytes
Suma de control MD5:445882B3C915350B29735DF1C8169ECB
Versin del VDF:7.11.53.216

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32.Mytob.HL@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.bw
   •  TrendMicro: WORM_MYTOB.IJ
   •  F-Secure: W32/Mytob.IQ@mm
   •  VirusBuster: I-Worm.Mytob.JF
   •  Bitdefender: Backdoor.SDBot.E0549F1E


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\svchosts.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"



Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,69,00,76,\
   • 00,01,00,00,00,01,00,00,00
   • "DeleteFlag"=dword:00000001



Aade las siguientes claves al registro:

[HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • *DETECTED* Online User Violation
   • *WARNING* YOUR EMAIL ACCOUNT IS SUSPENDED
   • Email Account Suspension
   • Important Notification
   • Members Support
   • NOTICE OF ACCOUNT LIMITATION
   • Security measures
   • Warning Message: Your services near to be closed.
   • We have suspended your account
   • You are banned!!!
   • Your Account is Suspended
   • YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS

Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
– Contiene cdigo HTML.
El cuerpo del mensaje es uno de los siguientes:

   • Dear %recipients domain% Member,
     We have temporarily suspended your email account %cuenta del cliente de correo electrnico%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %recipients domain% account.
     Sincerely,The %recipients domain% Support Team

   • Dear %recipients domain% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     Virtually yours,
     The %recipients domain% Support Team

   • Some information about your %recipients domain% account is attached.
     The %recipients domain% Support Team


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • information.zip
   • readme.zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:




 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .wab; .html; .adb; .tbb; .dbx; .asp; .php; .xml; .cgi; .jsp; .sht;
      .htm


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • accounts
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.


Creacin de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • "accoun"; "certific"; "listserv"; "ntivi"; "support"; "icrosoft";
      "admin"; "page"; "the.bat"; "gold-certs"; "feste"; "submit"; "not";
      "help"; "service"; "privacy"; "somebody"; "soft"; "contact"; "site";
      "rating"; "bugs"; "you"; "your"; "someone"; "anyone"; "nothing";
      "nobody"; "noone"; "webmaster"; "postmaster"; "samples"; "info";
      "root"; "mozilla"; "utgers.ed"; "tanford.e"; "pgp"; "acketst";
      "secur"; "isc.o"; "isi.e"; "ripe."; "arin."; "sendmail"; "rfc-ed";
      "ietf"; "iana"; "usenet"; "fido"; "linux"; "kernel"; "google";
      "ibm.com"; "fsf."; "gnu"; "mit.e"; "bsd"; "math"; "unix"; "berkeley";
      "foo."; ".mil"; "gov."; ".gov"; "ruslis"; "nodomai"; "mydomai";
      "example"; "inpris"; "borlan"; "sopho"; "panda"; "hotmail"; "msn.";
      "icrosof"; "syma"; "avp"; ".edu"; "abuse"; "abuse"


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: time.sanalcheh**********.com
Puerto: 7745
Canal: #zebra
Apodo: akira-%random chracter string%



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseas guardadas
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamao de la memoria
    • Carpeta Windows


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
     Realizar un anlisis de la red
    • Redirigir puertos
    • Reiniciar sistema
     Iniciar la rutina de propagacin
     Se actualiza solo
    • Cargar fichero en Internet

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\svchosts.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

 Robo de informaciones Intenta robar las siguientes informaciones:

Se inicia una rutina de creacin de ficheros log despus de teclear los siguientes textos:
   • paypal
   • PAYPAL

– Captura:
     Pulsaciones de teclado

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • paypal.com
   • PAYPAL.COM

 Captura:
     Informaciones para iniciar sesin

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Borland C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • PE Pack 1.0

Descripción insertada por Andrei Gherman el martes 30 de agosto de 2005
Descripción actualizada por Andrei Gherman el miércoles 31 de agosto de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.