¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.U
Descubierto:04/04/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:46.687 Bytes
Suma de control MD5:f558083b9778eecd17657fbd4e8b958d
Versin del VDF:6.30.00.62

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Net-Worm.Win32.Mytob.c
   •  Sophos: W32/Mytob-C
   •  Grisoft: I-Worm/Mytob.C
   •  VirusBuster: I-Worm.Mytob.V
   •  Eset: Win32/Mytob.D
   •  Bitdefender: Win32.Worm.Mytob.C


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\wfdmgr.exe

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "LSA"="wfdmgr.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "LSA"="wfdmgr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "LSA"="wfdmgr.exe"



Aade las siguientes claves al registro:

HKCU\Software\Microsoft\OLE
   • "LSA"="wfdmgr.exe"

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "LSA"="wfdmgr.exe

HKLM\SOFTWARE\Microsoft\Ole
   • "LSA"="wfdmgr.exe"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "LSA"="wfdmgr.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • hello
   • hi
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System

En algunos casos el campo del asunto est vaco.
Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
–  En algunos casos puede estar vaco.
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • test


Archivo adjunto:
Los nombres de los ficheros adjuntos estn compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    La extensin del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


Creacin de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • %serie de caracteres aleatorios%; sandra; linda; julie; jimmy;
      jerry; helen; debby; claudia; brenda; anna; alice; brent; adam; ted;
      fred; jack; bill; stan; smith; steve; matt; dave; dan; joe; jane; bob;
      robert; peter; tom; ray; mary; serg; brian; jim; maria; leo; jose;
      andrew; sam; george; david; kevin; mike; james; michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone; arin.; avp;
      be_loyal:; berkeley; borlan; bsd; bugs; certific; contact; example;
      feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; msn.; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 18.xx**********
Puerto: 13000
Canal: #m-rl1
Apodo: %serie de caracteres aleatorios%
Contrasea: G



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red


 Adems puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Enviar mensajes de correo
     Iniciar la rutina de propagacin
     Se actualiza solo

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\wfdmgr.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • D66

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el martes 28 de febrero de 2006
Descripción actualizada por Irina Boldea el jueves 16 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.