¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Fanbot.B
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:37.888 Bytes
Suma de control MD5:a1e3737d0b5dd6ee3fdb84170b8f7ab8
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Backdoor.Win32.Fanbot.b
   •  TrendMicro: WORM_MYTOB.KV
   •  F-Secure: W32/Mytob.MI@mm
   •  Bitdefender: Backdoor.Fanbot.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Suelta un fichero
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\Phantom.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

c:\Shell.sys En este fichero se registran las pulsaciones de teclado.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="userinit.exe,Phantom.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe Phantom.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated

Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:

   • Dear user %el nombre de usuario desde la direccin de correo del destinatario%,
     
     You have successfully updated the password of your %el dominio del destinatario desde la direccin de correo% account.
     
     If you did not authorize this change or if you need assistance with your account, please contact %el dominio del destinatario desde la direccin de correo% customer service at: %direccin de correo del remitente%
     
     Thank you for using %el dominio del destinatario desde la direccin de correo%!
     The %el dominio del destinatario desde la direccin de correo% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del destinatario desde la direccin de correo% Antivirus - www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   •
     Dear user %el nombre de usuario desde la direccin de correo del destinatario%,
     
     It has come to our attention that your %el dominio del destinatario desde la direccin de correo% User Profile ( x ) records are out of date. For further details see the attached document.
     
     Thank you for using %el dominio del destinatario desde la direccin de correo%!
     The %el dominio del destinatario desde la direccin de correo% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del destinatario desde la direccin de correo% Antivirus - www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   •
     Dear %el dominio del destinatario desde la direccin de correo% Member,
     
     We have temporarily suspended your email account %direccin de correo del destinatario%.
     
     This might be due to either of the following reasons:
     
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %el dominio del destinatario desde la direccin de correo% account.
     
     Sincerely,The %el dominio del destinatario desde la direccin de correo% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del destinatario desde la direccin de correo% Antivirus - www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   •
     Dear %el dominio del destinatario desde la direccin de correo% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     
     Virtually yours,
     The %el dominio del destinatario desde la direccin de correo% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus found
     +++ %el dominio del destinatario desde la direccin de correo% Antivirus - www..%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %serie de caracteres aleatorios%

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm; txt


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support

Puede combinar la primera lnea con la siguiente:
   • %el dominio del destinatario desde la direccin de correo%



Creacin de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Puede combinar la primera lnea con la siguiente:
   • %el dominio del destinatario desde la direccin de correo%



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; be_loyal:; slashdot; sourceforge;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; support; messagelabs; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********.3322.org
Canal: #xiaoyu
Apodo: [Phantom]%serie de caracteres aleatorios%



 Este programa malicioso puede obtener y enviar informaciones tales como:
     Direcciones de correo electrnico recopiladas
    • Velocidad del procesador
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamao de la memoria
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
     Iniciar ataques DDoS por desbordamiento de UDP
     desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
     Iniciar la captura de pulsaciones de teclado
    • Terminar proceso viral
    • Terminar proceso
     Se actualiza solo
    • Cargar fichero en Internet
     Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes sern eliminadas.

El acceso a los siguientes dominios est bloqueado:
   • jiangmin.com
   • www.jiangmin.com
   • Update2.JiangMin.com
   • Update3.JiangMin.com
   • rising.com.cn
   • www.rising.com.cn
   • online.rising.com.cn
   • iduba.net
   • www.iduba.net
   • kingsoft.com
   • db.kingsoft.com
   • scan.kingsoft.com
   • kaspersky.com.cn
   • www.kaspersky.com.cn
   • symantec.com.cn
   • www.symantec.com.cn
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.pandaguard.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.amazon.com
   • www.amazon.co.uk
   • www.amazon.ca
   • www.amazon.fr
   • www.paypal.com
   • paypal.com
   • moneybookers.com
   • www.moneybookers.com
   • www.ebay.com
   • ebay.com




El fichero host modificado se ver as:


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • [Phantom]


Serie de caracteres:
Adems, incluye la siguiente serie de caracteres:
   • [Phantom] 2005 by Evil[xiaoyu](2005.10.04). Special Thanks: x140d4n(my real&&best friend&&brother!!!).

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • PEPack

Descripción insertada por Razvan Olteanu el martes 11 de octubre de 2005
Descripción actualizada por Razvan Olteanu el miércoles 30 de noviembre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.