Nombre:Worm/Mytob.KU
Descubierto:16/10/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:44.032 Bytes
Suma de control MD5:681c76891f755ce893930C5afb670840
Versión del VDF:6.32.00.89

 General Método de propagación:
   • Correo electrónico
   • Red local
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Fanbot.j
   •  TrendMicro: WORM_FANBOT.C
   •  Sophos: W32/Fanbot-H
   •  Grisoft: I-Worm/Mytob.M
   •  Bitdefender: Win32.Fanbot.J@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\remote.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\RpcRemotes
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."



Añade la siguiente clave al registro:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
   • "Ph4nt0m" = "Ph4nt0m"



Modifica las siguientes claves del registro:

Desactiva el cortafuego de Windows:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   Valor anterior:
   • "Start" =%configuración definida por el usuario%
   Nuevo valor:
   • "Start" = dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start" = dword:00000004

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • *DETECTED* Online User Violation.
   • Email Account Suspension.
   • Hello. Were Skype and weve got something we would like to share with you.
   • Important Notification!
   • Members Support.
   • Notice of account limitation.
   • Security measures.
   • Share Skype.
   • Skype for Windows 1.4 - Have you got the new Skype?
   • Warning Message: Your services near to be closed.
   • What is Skype?
   • Your Account is Suspended For Security Reasons.
   • Your Account is Suspended.



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario% ,
     It has come to our attention that your %el dominio del remitente desde la dirección de correo% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %el dominio del remitente desde la dirección de correo% !
     The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear%el dominio del destinatario desde la dirección de correo% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus found
     +++%el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear %el dominio del destinatario desde la dirección de correo% Member,
     We have temporarily suspended your email account %dirección de correo del destinatario%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %el dominio del destinatario desde la dirección de correo% account.
     Sincerely,The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario% ,
     You have successfully updated the password of your %el dominio del destinatario desde la dirección de correo% account.
     If you did not authorize this change or if you need assistance with your account, please contact %el dominio del remitente desde la dirección de correo% customer service at: %dirección de correo del remitente%
     Thank you for using%el dominio del remitente desde la dirección de correo%!
     The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario%,
     Skype is a little piece of software that lets you talk over the Internet to anyone, anywhere for free.
     And it just got even better ¡ª download the latest version of Skype:
     Our call quality is the best ever for talking, laughing and sharing stories.
     You can forward calls on to mobiles, landlines and other Skype Names.
     Make calls instantly from Outlook email or Internet Explorer with our new toolbars.
     Personalise your Skype ¡ª play around with sounds, ringtones and pictures to show the world who you are.
     For further details see the attached document.
     
     This message contains graphics. If you do not see the graphics, click here to view.
     Legal information


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • readme.zip
   • Share Skype.zip
   • Skype for Windows 1.4.zip
   • Skype.zip
   • Skype-details.zip
   • Skype-document.zip
   • Skype-info.zip
   • Skype-stuffs.zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • adb; asp; cfg; cgi; dbx; ht; htm; html; jsp; mdb; msg; php; sht; tbb;
      txt; vbe; vbs; xml


Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • noreply
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • bear
   • donkey
   • download
   • htdocs
   • icq
   • incoming
   • kazaa
   • lime
   • morpheus
   • mule
   • share
   • sharing
   • soft
   • upload

   Al tener éxito, crea los siguientes ficheros:
   • Copies itself with the names; XXX hardcore pics.jpg.exe; WinXP eBook
      newest.doc.exe; Windows XP crack.exe; Windows 2003 crack.exe; Windows
      2000 Sourcecode.doc.exe; WinAmp 13 full.exe; Win Longhorn re.exe; Win
      Longhorn.doc.exe; Winxp_Crack.exe; Winamp5.exe; Visual Studio Net
      Crack all.exe; virii.scr; Ulead Keygen 2004.exe; UltraEdit-32 12.01 +
      Cracker.exe; The Sims 4 beta.exe; Teen Porn 15.jpg.pif; TouchNet
      Browser 1.29b.exe; Star Office 9.exe; Smashing the stack full.rtf.exe;
      Serials edition.txt.exe; Screensaver2.scr; Saddam Hussein.jpg.exe;
      Serials 2005_New.exe; Strip-Girl-2.0b.exe; Super Dollfie.pif;
      strippoker.exe; Serial.txt.exe; Ringtones.mp3.exe; Ringtones.doc.exe;
      RFC compilation.doc.exe; RealPlayer_New.exe; rfc compilation.doc.exe;
      Rain.scr; Porno Screensaver britney.scr; Partitionsmagic 10 beta.exe;
      programming basics.doc.exe; porno.scr; Opera 11.exe; Office_Crack.exe;
      Norton Antivirus 2005 beta.exe; netsky source code.scr; nuke2004.exe;
      MS Service Pack 6.exe; Microsoft WinXP Crack full.exe; Microsoft
      Office 2003 Crack best.exe; Matrix.mpg.exe; Magix Video Deluxe 5
      beta.exe; max payne 2.crack.exe; Maxthon_New.exe; MSN7-final.exe;
      matrix.scr; Lightwave 9 Update.exe; Learn Programming 2004.doc.exe;
      Keygen 4 all new.exe; Kazaa new.exe; Kazaa Lite 4.0 new.exe;
      Kula.jpg.pif; Kula.scr; 'K.jpg.pif; Internet Explorer 9 setup.exe;
      icq2005-final.exe; How to hack new.doc.exe; Harry Potter.doc.exe;
      Harry Potter game.exe; Harry Potter e book.doc.exe; Harry Potter all
      e.book.doc.exe; Harry Potter 5.mpg.exe; Harry Potter 1-6 book.txt.exe;
      how to hack.doc.exe; Gimp 1.8 Full with Key.exe; Full album
      all.mp3.pif; firefox-1.6a1.en-US.win32.installer.exe; Eminem.mp3.exe;
      Eminem Spears porn.jpg.exe; Eminem Song text archive.doc.exe; Eminem
      Sexy archive.doc.exe; Eminem sex xxx.jpg.exe; Eminem Poster.jpg.exe;
      Eminem full album.mp3.exe; Eminem blowjob.jpg.exe; E-Book
      Archive2.rtf.exe; eminem - lick my pussy.mp3.pif;
      e-book.archive.doc.exe; e.book.doc.exe; Doom 3 release 2.exe; DivX 8.0
      final.exe; Dictionary English 2004 - France.doc.exe; Dark Angels
      new.pif; dolly_buster.jpg.pif; dictionary.doc.exe; dcom_patches.exe;
      doom2.doc.pif; Cracks & Warez Archiv.exe; Cloning.doc.exe; Clone DVD
      6.exe; cool screensaver.scr; Britney Spears.mp3.exe; Britney
      Spears.jpg.exe; Britney Spears Song text archive.doc.exe; Britney
      Spears Sexy archive.doc.exe; Britney Spears porn.jpg.exe; Britney
      Spears full album.mp3.exe; Britney Spears fuck.jpg.exe; Britney Spears
      cumshot.jpg.exe; Britney Spears blowjob.jpg.exe; Britney Spears and
      Eminem porn.jpg.exe; Britney sex xxx.jpg.exe; Best Matrix Screensaver
      new.scr; BlackIce_Firewall_Enterpriseactivation_Crack.exe;
      Butterfly.scr; Bifrost.scr; Arnold Schwarzenegger.jpg.exe; American
      Idol.doc.exe; Altkins Diet.doc.exe; Ahead Nero 8.exe; Adobe Premiere
      10.exe; Adobe Photoshop 10 full.exe; Adobe Photoshop 10 crack.exe;
      ACDSee 10.exe; AcrobatReader_New.exe; activation_crack.exe;
      angels.pif; 3D Studio Max 6 3dsmax.exe; 1001 Sex and more.rtf.exe

   Estos ficheros son copias del programa malicioso.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: jojogirl.3322.org
Puerto: 5262
Canal: #Phantom
Apodo: %serie de caracteres aleatorios de seis dígitos%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Carpeta de sistema
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Reiniciar sistema
    • Apagar sistema
    • Iniciar la captura de pulsaciones de teclado
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Finalización de los procesos Listado de los procesos finalizados:
   • a2hijackfree.exe; adam.exe; AgtX0404.exe; AgtX0411.exe; AgtX0804.exe;
      AlertAst.exe; ALEScan.exe; ALEUpdat.exe; ALUNOTIFY.EXE;
      antivirus_update.exe; aports.exe; AUPDATE.EXE; BackRav.exe;
      Blackd.exe; Blackice.exe; botzor.exe; bronstab.exe; ccEmFlSv.exe;
      CCenter.exe; CfgWiz.exe; Cleanup.exe; CmdAgent.exe; coolbot.exe;
      csm.exe; csscan.exe; CVT.exe; DefWatch.exe; DWHWizrd.exe; EGhost.exe;
      eksplorasi.pif; fint2005.exe; FrameworkService.exe; FrmInst.exe;
      hellmsn.scr; HijackThis.exe; hkcmd.exe; HNetWiz.exe; hpmanager.exe;
      iamstats.exe; IceSword.exe; IDTemplate.exe; igfxtray.exe; InBuild.exe;
      Iparmor.exe; ISSVC.exe; java.exe; KATMain.EXE; kav.exe; KAV32.EXE;
      KAVDX.EXE; KAVLog2.EXE; KAVPFW.EXE; kavsend.exe; KAVStart.exe;
      kavsvc.exe; KillBox.exe; KMailMon.EXE; knlps.exe; knlsc13.exe;
      KPFWSvc.EXE; KRecycle.EXE; KRegEx.exe; KShrMgr.EXE; KVCenter.kxp;
      kvdetech.exe; KvDetect.exe; kvdisk.kxp; KVDOS.exe; KVMonXP.kxp;
      KVOL.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe;
      KVStory.kxp; KVStub.kxp; kvupload.exe; kvwsc.exe; KvXP.kxp;
      KWatch.EXE; KWatch9x.EXE; LangSet.exe; LDVPREG.exe; logparser.exe;
      LRSend.exe; LSETUP.EXE; LUALL.EXE; LuaWrap.exe; LuComServer.EXE;
      LUInit.exe; MakeBoot.exe; McAffeAv.exe; mcconsol.exe; McScript.exe;
      McScript_InUse.exe; mcupdate.exe; MDAC.EXE; mousebm.exe; mousemm.exe;
      mousesync.exe; MsAgent.exe; msnmsgs.exe; MSTask.exe; naPrdMgr.exe;
      navustub.exe; NDETECT.EXE; NTdhcp.exe; nvchip4.exe; Patch.exe;
      PCCBrows.exe; pccguide.exe; pcclient.exe; PccLog.exe; pccmain.exe;
      PcCmdCom.exe; Pccspyui.exe; PcCtlCom.exe; PCCTool.exe; PCCVScan.exe;
      per.exe; PFW.exe; Phantom.exe; picx.exe; pireg.exe; pm.exe;
      ProcessExplorer.exe; Rav.exe; RAVDOS.EXE; RavHDBak.exe; RavMon.exe;
      RavMonD.exe; RavPatch.exe; RavStore.exe; RavStub.exe; RavTimer.exe;
      RavXP.exe; realsched.exe; RegClean.exe; RegGuide.exe; regsvc.exe;
      REGSVR32.EXE; Rescue.EXE; Rfw.exe; RfwMain.exe; rfwsrv.exe;
      rkdetector.exe; RootkitRevealer.exe; RsAgent.exe; RsConfig.exe;
      rssms.exe; Rtvscan.exe; RUNDLL32.EXE; SavRoam.exe; scan32.exe;
      ScanBD.exe; ScnCfg32.Exe; scrigz.exe; servce.exe; SetupWiz.EXE;
      shcfg32.exe; shstat.exe; SMARTDRV.EXE; SmartUp.exe; smss.exe;
      SOUNDMAN.exe; SymantecRootInstaller.exe; SymClnUp.exe; system.exe;
      taskgmr.exe; Tmntsrv.exe; TMOAgent.exe; TmPfw.exe; tmproxy.exe;
      TRA.EXE; TRIALMSG.exe; TrojanDetector.EXE; Trojanwall.exe;
      TrojDie.kxp; TSC.EXE; UnInstall.kxp; Update.EXE; UpdaterUI.exe;
      UpGrade.exe; VirusBox.kxp; VPC32.exe; VPDN_LU.exe; VPTray.exe;
      VsTskMgr.exe; winhost.exe; winldr.exe; wins.exe; wintbp.exe;
      winupdate.exe; wpa.exe; WriteCan.exe; Zonealarm.exe


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\remote.exe en el puerto TCP 5262 para funcionar como servidor FTP.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___


Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!!
   • [Phantom] 2005 made by Evil[xiaou]. Special Thanks:x140d4n.
   • Play with the best, Die like the rest.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el martes 17 de enero de 2006
Descripción actualizada por Irina Boldea el viernes 20 de enero de 2006

Volver . . . .