¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.KE
Descubierto:06/10/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:37.888 Bytes
Suma de control MD5:39404d69f222a506ce60d260e8377a8d
Versión del VDF:6.32.00.64

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Email-Worm.Win32.Fanbot.c
   •  TrendMicro: WORM_MYTOB.KV
   •  Sophos: W32/Mytob-FT
   •  Grisoft: I-Worm/Mytob.MC
   •  Eset: Win32/Mytob.KR
   •  Bitdefender: Backdoor.SDBot.BBD


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\Phantom.exe



Crea el siguiente fichero:

– C:\Shell.sys En este fichero se registran las pulsaciones de teclado.

 Registro Modifica la siguiente clave del registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"=%configuración definida por el usuario%
     "Userinit"=%configuración definida por el usuario%
   Nuevo valor:
   • "Shell"="Explorer.exe Phantom.exe"
     "Userinit"="userinit.exe,Phantom.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Dear %el dominio del destinatario desde la dirección de correo% Member,
     We have temporarily suspended your email account %dirección de correo del destinatario%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %el dominio del destinatario desde la dirección de correo% account.
     Sincerely,The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario% ,
     You have successfully updated the password of your %el dominio del destinatario desde la dirección de correo% account.
     If you did not authorize this change or if you need assistance with your account, please contact %el dominio del remitente desde la dirección de correo% customer service at: %dirección de correo del remitente%
     Thank you for using%el dominio del remitente desde la dirección de correo%!
     The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear%el dominio del destinatario desde la dirección de correo% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus found
     +++%el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario% ,
     It has come to our attention that your %el dominio del remitente desde la dirección de correo% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %el dominio del remitente desde la dirección de correo% !
     The %el dominio del remitente desde la dirección de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la dirección de correo% Antivirus - www.%el dominio del remitente desde la dirección de correo%


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • adb; asp; cfg; cgi; dbx; ht; htm; html; jsp; mdb; msg; php; sht; tbb;
      txt; vbe; vbs; xml


Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • noreply
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: small**********.3322.org
Puerto: 5262
Canal: #xiaoyu
Apodo: %serie de caracteres aleatorios de cinco dígitos%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Carpeta de sistema
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




El fichero host modificado se verá así:


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • [Phantom]


Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • Play with The best Die like the rest.
   • HellBot3 have BackDoor in HellMsn.h. The HellBot3 author is an idiocy!!!
   • [Phantom] 2005 Made By Evil[xiaou]. Greetz to good friend x140d4n. Based On sdbot&&mydoom.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el viernes, 20 de enero de 2006
Descripción actualizada por Irina Boldea el viernes, 20 de enero de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.