¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.EF.2
Descubierto:18/04/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Alto
Potencial daino:Medio
Fichero esttico:S
Tamao:130.200 Bytes
Suma de control MD5:94dc803c285627031a5ff01946fa988e
Versin del VDF:6.34.00.198
Versin del IVDF:6.34.00.200 - miércoles 19 de abril de 2006

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local
    Messenger
   • Peer to Peer


Alias:
   •  Symantec: W32.Mytob.PE@mm
   •  Kaspersky: Net-Worm.Win32.Kidala.a
   •  TrendMicro: WORM_MYTOB.PT
   •  Sophos: W32/Mytob-HH
   •  VirusBuster: I-Worm.Mydoom.BV
   •  Eset: Win32/Mytob.SF
   •  Bitdefender: Win32.Worm.Mytob.ET


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\ISPSupport.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %raz de la particin del sistema%\HoT.pif
   • %SYSDIR%\loadwin.scr
   • %SYSDIR%\loadwin.com
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.com
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winloader.scr
   • %SYSDIR%\winload.scr
   • %SYSDIR%\winload.exe
   • %SYSDIR%\winload.com
   • %SYSDIR%\player.scr
   • %SYSDIR%\player.com
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.com
   • %SYSDIR%\microsystem.scr
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.com
   • %SYSDIR%\viewer.exe
   • %SYSDIR%\viewer.scr

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ISPSystem"="%SYSDIR%\ISPSupport.exe"



Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys32x
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systems

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • %serie de caracteres aleatorios%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



El cuerpo del mensaje:
–  En algunos casos puede estar vaco.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Archivo adjunto:
Los nombres de los ficheros adjuntos estn compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %serie de caracteres aleatorios%

    La extensin del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Creacin de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • \My Shared Folder
   • \eDonkey2000\incoming
   • \LimeWire\Shared

   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • SOFTWARE\Morpheus
   • SOFTWARE\KAZAA\LocalContent
   • Software\Kazaa\Transfer
   • SOFTWARE\iMesh\Client
   • SOFTWARE\WarezP2P

   Al tener xito, crea los siguientes ficheros:
   • YahooMessenger_Loader; MSN7.0UniversalPatch; MSN7.0Loader;
      KAV2006_Crack; ZoneAlarmPro6.xx_Crack; Angilina_Jolie_Sucks_a_Dick;
      JenniferLopez_Film_Sexy_Enough; BritneySpears_SoSexy;
      DAP7.4.x.x_crack; NortonAV2006_Crack; Alcohol_120%%_patch;
      Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly;
      nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; MSN7.0UniversalPatch;
      MSN7.0Loader; KAV2006_Crack; ZoneAlarmPro6.xx_Crack; TaskCatcher;
      Opera8; notepad++; lcc-win32_update; RealPlayerv10.xx_crack; nuke2006;
      office_crack; rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; xXx Sex xXx; porn in porn; cums in asshole;
      New Sex Movie; big tits; Fucked Hardly; Beautiful ass; Sexy Girl;
      WooooW much sexual; look at the bitch; Sex Movie; film Sex; XXX Movie;
      the best sex clip; Sex in Sex just watch it!!; Nawal-elzoghbi.rm;
      Elissa+3a9y.rm; Nancy-3ajram.rm; Halima-Poland.rm; Hayfaa-Wahbi.rm;
      Christina_Aguilera.rm; Jessica_Simpson.rm; Mariah_Carey.rm; Thalia.rm;
      Beyonce.rm; Jennifer_Lopez.rm; Angilina_Jolie.rm; Madonna.rm;
      Britney.rm; Nawal-elzoghbi.mpeg; Elissa+3a9y.mpeg; Nancy-3ajram.mpeg;
      Halima-Poland.mpeg; Hayfaa-Wahbi.mpeg; Christina_Aguilera.mpeg;
      Jessica_Simpson.mpeg; Mariah_Carey.mpeg; Thalia.mpeg; Beyonce.mpeg;
      Jennifer_Lopez.mpeg; Angilina_Jolie.mpeg; Madonna.mpeg; Britney.mpeg;
      Nawal-elzoghbi.ram; Elissa+3a9y.ram; Nancy-3ajram.ram;
      Halima-Poland.ram; Hayfaa-Wahbi.ram; Christina_Aguilera.ram;
      Jessica_Simpson.ram; Mariah_Carey.ram; Thalia.ram; Beyonce.ram;
      Jennifer_Lopez.ram; Angilina_Jolie.ram; Madonna.ram; Britney.ram;
      Nawal-elzoghbi.mpg; Elissa+3a9y.mpg; Nancy-3ajram.mpg;
      Halima-Poland.mpg; Hayfaa-Wahbi.mpg; Christina_Aguilera.mpg;
      Jessica_Simpson.mpg; Mariah_Carey.mpg; Thalia.mpg; Beyonce.mpg;
      Jennifer_Lopez.mpg; Angilina_Jolie.mpg; Madonna.mpg; Britney.mpg

   Estos ficheros son copias del programa malicioso.

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 AIM Messenger


A:
Todas las entradas en la lista de contactos.


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • look at this video http://%direccin IP%:2001/%serie de caracteres aleatorios%

   • hehe, watch this http://%direccin IP%:2001/%serie de caracteres aleatorios%

   • your going to like this :D http://%direccin IP%:2001/%serie de caracteres aleatorios%

   • lol, don't forget to watch this video http://%direccin IP%:2001/%serie de caracteres aleatorios%

   • LOL, this shit is funny http://%direccin IP%:2001/%serie de caracteres aleatorios%

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.


Propagacin por ficheros
Enva un fichero con uno de los siguientes nombres:
   • crazy5.scr
   • exposed.scr
   • funny2.scr
   • funny1.scr
   • haha.scr
   • picture1.scr
   • mjackson.scr
   • lucky.scr
   • crazyjump.scr
   • funny3.scr

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
 MS01-059 (Unchecked Buffer in Universal Plug and Play)
 MS02-018 (Parche para Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 Puerta trasera Bagle (puerto 2745)
 Puerta trasera Kuang (puerto 17300)
 Puerta trasera Mydoom (puerto 3127)
 Puerta trasera NetDevil (puerto 903)
 Puerta trasera Optix (puerto 3140)
 Puerta trasera SubSeven (puerto 27347)
 Administracin remota DameWare (puerto 6129)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 Finalizacin de los procesos Listado de los procesos finalizados:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\ISPSupport.exe en el puerto TCP 16248 para funcionar como servidor FTP.
%SYSDIR%\ISPSupport.exe 2001 para funcionar como servidor HTTP.

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el lunes 19 de junio de 2006
Descripción actualizada por Irina Boldea el miércoles 21 de junio de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.