¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.AD
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:49.152 Bytes
Suma de control MD5:057e1a0Ec4443f5eeb83d9e44777c56f
Versin del VDF:7.11.53.216

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Net-Worm.Win32.Mytob.u
   •  TrendMicro: WORM_MYTOB.AC
   •  Sophos: W32/MyDoom-AJ
   •  Grisoft: I-Worm/Mytob.AA
   •  VirusBuster: I-Worm.Mytob.AC
   •  Bitdefender: Win32.Worm.Mytob.AC


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\rnathchk.exe
   • C:\pic.scr
   • C:\see_this!.pif
   • C:\my_picture.scr

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, aadido para ejecutar los procesos al reiniciar el sistema.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "RealPlayer Ath Check" = "rnathchk.exe"



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\OLE]
   • "RealPlayer Ath Check" = "rnathchk.exe"

[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "RealPlayer Ath Check" = "rnathchk.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • MAIL TRANSACTION FAILED
   • SERVER REPORT
   • Status

Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


Archivo adjunto:
Los nombres de los ficheros adjuntos estn compuestos de los siguientes elementos:

–  Serie de caracteres aleatorios
   • data
   • doc
   • document
   • file
   • message
   • body
   • readme
   • test
   • text
   • %serie de caracteres aleatorios%

    La extensin del fichero es una de las siguientes:
   • BAT
   • CMD
   • EXE
   • PIF
   • SCR
   • ZIP

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com


Creacin de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • avp; syma; icrosof; panda; sopho; borlan; inpris; example; mydomai;
      nodomai; ruslis; .gov; gov.; .mil; foo.; berkeley; unix; math; bsd;
      mit.e; gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana;
      ietf; rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst;
      pgp; tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; bugs; rating; site; contact; soft; somebody; privacy; service;
      help; not; submit; feste; gold-certs; the.bat; page; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; google; accoun;
      spm; fcnz; www; secur; abuse


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • gate
   • ns
   • mail
   • mx

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: spm.slo-partija.info
Puerto: 48275
Contrasea del servidor: 57284
Canal: #hb2
Apodo: [I]%serie de caracteres aleatorios%
Contrasea: sp4m

Servidor: spm.gobice.net
Puerto: 48275
Contrasea del servidor: 57284
Canal: #hb2
Apodo: [I]%serie de caracteres aleatorios%
Contrasea: sp4m

Servidor: egwf.wegberobpk.info
Puerto: 48275
Contrasea del servidor: 57284
Canal: #hb2
Apodo: [I]%serie de caracteres aleatorios%
Contrasea: sp4m



 Este programa malicioso puede obtener y enviar las siguientes informaciones:
    • Tiempo de trabajo del programa viral


 Adems puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Ejecutar ataque DDoS
     Realizar un anlisis de la red

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes sern eliminadas.

El acceso a los siguientes dominios est bloqueado:
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.microsoft.com
   • www.trendmicro.com
   • metalhead2005.info
   • irc.blackcarder.net
   • d66.myleftnut.info




El fichero host modificado se ver as:


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • I_FUCK_DEAD_PPL

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Victor Tone el martes 15 de noviembre de 2005
Descripción actualizada por Victor Tone el miércoles 23 de noviembre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.