¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.KV
Descubierto:16/10/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:71.680 Bytes
Suma de control MD5:1a579eaa603ac908f10E2ce4e3bdaf9b
Versión del VDF:6.32.00.89

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.q
   •  TrendMicro: WORM_MYTOB.X
   •  Sophos: W32/Mytob-R
   •  Grisoft: I-Worm/Mytob.U
   •  VirusBuster: I-Worm.Mytob.W!zip
   •  Eset: Win32/Mytob.T
   •  Bitdefender: Win32.Worm.Mytob.S


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr
   • %SYSDIR%\nethell.exe
   • %SYSDIR%\taskgmr.exe

– C:\hellmsn.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Mytob.F.1

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "WINTASK" = "taskgmr.exe"



Añade las siguientes claves al registro:

– HKCU\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

– HKLM\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • %serie de caracteres aleatorios%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • %serie de caracteres aleatorios%
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


Archivo adjunto:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • adb; asp; dbx; doc; htm; php; sht; tbb; tmp; txt; wab


Creación de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • Admin$
   • Admin$\system32
   • c$
   • c$\winnt\system32
   • d$
   • e$
   • ipc$
   • ipc$\system32
   • lwc$
   • NETLOGON
   • print$
   • print$\system32
   • profiles$
   • SYSVOL


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

–Contraseñas y nombres de usuarios almacenados.

– Un listado de nombres de usuario y contraseñas:
   • Cisco; CISCO; ROOT; Root; oeminstall; staff; teacher; student1;
      student; afro; turnip; glen; freddy; intranet; lan; nokia; ctx;
      headoffice; main; capitol; blank; office; mass; control; pink; yellow;
      siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; database;
      domainpassword; domainpass; domain; orange; heaven; fish; hell; god;
      sex; fuck; exchnge; exchange; backup; technical; sage; owa; loginpass;
      login; katie; kate; bruce; ian; neil; lee; spencer; frank; joan;
      susan; sue; barbara; ron; luke; qwe; asd; qaz; oemuser; oem; homeuser;
      home; accounting; internet; web; outlook; mail; qwerty; null; server;
      system; default; changeme; none; test; xxxxxxxxx; xxxxxxxx; xxxxxxx;
      xxxxxx; xxxxx; xxxx; xxx; wired; winxp; winston; winpass; winnt; wing;
      wine; windozexp; windozeME; windoze98; windoze95; windoze2k; windoze;
      windowz; WindowsXP; windowsME; windows98; windows95; windows2k;
      windows; windose; win98; win2k; win2000; win; userpassword; username;
      usermane; user1; User; USER; user; Unknown; unknown; password123;
      password1; Password; PASSWORD; password; passwd; passphra; pass1234;
      pass123; pass; Guest; GUEST; guest; Administrator; ADMINISTRATOR;
      administrator; Administrateur; Administrador; admin123; Admin; ADMIN;
      adm; accounts; account; access; ACCESS; abcd; abc123; abc; aaa;
      654321; 54321; 2600; 2003; 2002; 123qwe; 123asd; 123abc; 1234qwer;
      123467890; 12346789; 1234678; 123467; 12346; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123321; 123123; 123; 121212; 121;
      11111111; 111111; 111; 110; 0wned; 0wn3d; 007; 00000000; 000000;
      00000; 0000; 000



Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 19.**********or.biz
Canal: #m-rl5
Apodo: q[I]%serie de caracteres aleatorios%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Tiempo de trabajo del programa viral


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso viral

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




El fichero host modificado se verá así:


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\taskgmr.exe en el puerto TCP 16542 para funcionar como servidor FTP.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ggmutexk2

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el viernes, 20 de enero de 2006
Descripción actualizada por Irina Boldea el viernes, 20 de enero de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.