¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.MC.1
Descubierto:17/03/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:108.032 Bytes
Suma de control MD5:b9beb39484e6742f8d2a1825429e2ca4
Versin del VDF:6.34.00.64

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.xd
   •  TrendMicro: WORM_MYTOB.NF
   •  Sophos: W32/Dolebot-A
   •  Bitdefender: Backdoor.SDBot.AHV

Identificado anteriormente como:
     Worm/SdBot.108032


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero daino
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\skype32.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%SYSDIR%\rofl.sys Detectado como: BDS/Aimbot.AF.5

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\Skype
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\skype32.exe
   • "DisplayName"="Skype Messenger"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Skype Messenger Service"



Aade la siguiente clave al registro:

HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



Modifica las siguientes claves del registro:

HKLM\SOFTWARE\Microsoft\Security Center
   Valor anterior:
   • "AntiVirusDisableNotify"=%configuracin definida por el usuario%
   • "FirewallDisableNotify"=%configuracin definida por el usuario%
   • "UpdatesDisableNotify"=%configuracin definida por el usuario%
   • "AntiVirusOverride"=%configuracin definida por el usuario%
   • "FirewallOverride"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Desactiva el cortafuego de Windows:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Valor anterior:
   • "EnableFirewall"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

Desactiva el cortafuego de Windows:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Valor anterior:
   • "EnableFirewall"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Valor anterior:
   • "AUOptions"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%configuracin definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Valor anterior:
   • "AutoShareWks"=%configuracin definida por el usuario%
   • "AutoShareServer"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   Valor anterior:
   • "AutoShareWks"=%configuracin definida por el usuario%
   • "AutoShareServer"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   Valor anterior:
   • "DoNotAllowXPSP2"=%configuracin definida por el usuario%
   Nuevo valor:
   • "DoNotAllowXPSP2"=dword:00000001

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Dear %el dominio del destinatario desde la direccin de correo% Member,
     We have temporarily suspended your email account %direccin de correo del destinatario%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %el dominio del destinatario desde la direccin de correo% account.
     Sincerely,The %el dominio del remitente desde la direccin de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la direccin de correo% Antivirus - www.%el dominio del remitente desde la direccin de correo%

   • Dear user %el nombre de usuario desde la direccin de correo del destinatario% ,
     You have successfully updated the password of your %el dominio del destinatario desde la direccin de correo% account.
     If you did not authorize this change or if you need assistance with your account, please contact %el dominio del remitente desde la direccin de correo% customer service at: %direccin de correo del remitente%
     Thank you for using%el dominio del remitente desde la direccin de correo%!
     The %el dominio del remitente desde la direccin de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la direccin de correo% Antivirus - www.%el dominio del remitente desde la direccin de correo%

   • Dear%el dominio del destinatario desde la direccin de correo% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %el dominio del remitente desde la direccin de correo% Support Team
     
     +++ Attachment: No Virus found
     +++%el dominio del remitente desde la direccin de correo% Antivirus - www.%el dominio del remitente desde la direccin de correo%

   • Dear user %el nombre de usuario desde la direccin de correo del destinatario% ,
     It has come to our attention that your %el dominio del remitente desde la direccin de correo% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %el dominio del remitente desde la direccin de correo% !
     The %el dominio del remitente desde la direccin de correo% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %el dominio del remitente desde la direccin de correo% Antivirus - www.%el dominio del remitente desde la direccin de correo%


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %serie de caracteres aleatorios%.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • adb; asp; cfg; cgi; dbx; htm; html; jsp; mdb; msg; php; sht; tbb; txt;
      vbe; vbs; xml


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



Creacin de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: tx.ha**********
Puerto: 43287
Canal: #dfnctsc
Apodo: [P00|USA|%serie de caracteres aleatorios de cinco dgitos%]



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema


 Adems puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
     Realizar un anlisis de la red
    • Apagar sistema
     Iniciar la rutina de propagacin
    • Terminar proceso viral
    • Terminar proceso
     Se actualiza solo

 Finalizacin de los procesos  Listado de los servicios desactivados:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://test.anonproxies.com/cgi-bin/**********
   • http://www21.big.or.jp/~mana_/**********
   • http://www.motor21.net/**********
   • http://www.xyerror.x-y.net/**********
   • http://www21.tok2.com/home/sophia/cgi-bin/**********


 Tecnologa Rootkit Es una tecnologa especfica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Su propio proceso

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el lunes 13 de marzo de 2006
Descripción actualizada por Irina Boldea el lunes 20 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.