Nombre:Worm/Mytob.NJ
Descubierto:08/04/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Alto
Potencial dañino:Medio
Fichero estático:
Tamaño:130.264 Bytes
Suma de control MD5:c9ded4e0e4d9a277167203f3a84e4e41
Versión del VDF:6.34.0.159
Versión del IVDF:6.34.0.161

 General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Messenger
   • Peer to Peer


Alias:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Net-Worm.Win32.Kidala.a
   •  TrendMicro: WORM_MYTOB.PP
   •  Sophos: W32/Mytob-HG
   •  VirusBuster: I-Worm.Mydoom.BU
   •  Eset: Win32/Mytob.RW
   •  Bitdefender: Win32.Worm.Mytob.ER


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\0.exe
   • C:\HoT.pif



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "solid"="%SYSDIR%\0.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • %serie de caracteres aleatorios%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



El cuerpo del mensaje:
–  En algunos casos puede estar vacío.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Creación de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • \My Shared Folder
   • \eDonkey2000\incoming
   • \LimeWire\Shared

   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • SOFTWARE\Morpheus
   • SOFTWARE\KAZAA\LocalContent
   • Software\Kazaa\Transfer
   • SOFTWARE\iMesh\Client
   • SOFTWARE\WarezP2P

   Al tener éxito, crea los siguientes ficheros:
   • YahooMessenger_Loader; MSN7.0UniversalPatch; MSN7.0Loader;
      KAV2006_Crack; ZoneAlarmPro6.xx_Crack; Angilina_Jolie_Sucks_a_Dick;
      JenniferLopez_Film_Sexy_Enough; BritneySpears_SoSexy;
      DAP7.4.x.x_crack; NortonAV2006_Crack; Alcohol_120%%_patch;
      Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly;
      nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; MSN7.0UniversalPatch;
      MSN7.0Loader; KAV2006_Crack; ZoneAlarmPro6.xx_Crack; TaskCatcher;
      Opera8; notepad++; lcc-win32_update; RealPlayerv10.xx_crack; nuke2006;
      office_crack; rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; xXx Sex xXx; porn in porn; cums in asshole;
      New Sex Movie; big tits; Fucked Hardly; Beautiful ass; Sexy Girl;
      WooooW much sexual; look at the bitch; Sex Movie; film Sex; XXX Movie;
      the best sex clip; Sex in Sex just watch it!!; Nawal-elzoghbi.rm;
      Elissa+3a9y.rm; Nancy-3ajram.rm; Halima-Poland.rm; Hayfaa-Wahbi.rm;
      Christina_Aguilera.rm; Jessica_Simpson.rm; Mariah_Carey.rm; Thalia.rm;
      Beyonce.rm; Jennifer_Lopez.rm; Angilina_Jolie.rm; Madonna.rm;
      Britney.rm; Nawal-elzoghbi.mpeg; Elissa+3a9y.mpeg; Nancy-3ajram.mpeg;
      Halima-Poland.mpeg; Hayfaa-Wahbi.mpeg; Christina_Aguilera.mpeg;
      Jessica_Simpson.mpeg; Mariah_Carey.mpeg; Thalia.mpeg; Beyonce.mpeg;
      Jennifer_Lopez.mpeg; Angilina_Jolie.mpeg; Madonna.mpeg; Britney.mpeg;
      Nawal-elzoghbi.ram; Elissa+3a9y.ram; Nancy-3ajram.ram;
      Halima-Poland.ram; Hayfaa-Wahbi.ram; Christina_Aguilera.ram;
      Jessica_Simpson.ram; Mariah_Carey.ram; Thalia.ram; Beyonce.ram;
      Jennifer_Lopez.ram; Angilina_Jolie.ram; Madonna.ram; Britney.ram;
      Nawal-elzoghbi.mpg; Elissa+3a9y.mpg; Nancy-3ajram.mpg;
      Halima-Poland.mpg; Hayfaa-Wahbi.mpg; Christina_Aguilera.mpg;
      Jessica_Simpson.mpg; Mariah_Carey.mpg; Thalia.mpg; Beyonce.mpg;
      Jennifer_Lopez.mpg; Angilina_Jolie.mpg; Madonna.mpg; Britney.mpg

   Estos ficheros son copias del programa malicioso.

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger


A:
Todas las entradas en la lista de contactos.


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • look at this video http://%dirección IP%:2001/%serie de caracteres aleatorios%

   • hehe, watch this http://%dirección IP%:2001/%serie de caracteres aleatorios%

   • your going to like this :D http://%dirección IP%:2001/%serie de caracteres aleatorios%

   • lol, don't forget to watch this video http://%dirección IP%:2001/%serie de caracteres aleatorios%

   • LOL, this shit is funny http://%dirección IP%:2001/%serie de caracteres aleatorios%

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.


Propagación por ficheros
Envía un fichero con uno de los siguientes nombres:
   • crazy5.scr
   • exposed.scr
   • funny2.scr
   • funny1.scr
   • haha.scr
   • picture1.scr
   • mjackson.scr
   • lucky.scr
   • crazyjump.scr
   • funny3.scr

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Parche para Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– Puerta trasera Bagle (puerto 2745)
– Puerta trasera Kuang (puerto 17300)
– Puerta trasera Mydoom (puerto 3127)
– Puerta trasera NetDevil (puerto 903)
– Puerta trasera Optix (puerto 3140)
– Puerta trasera SubSeven (puerto 27347)
– Administración remota DameWare (puerto 6129)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Propagación:
– Crea un fichero llamado script.ini para difundir una copia suya mediante IRC.

 Finalización de los procesos Listado de los procesos finalizados:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\0.exe en el puerto TCP 16248 para funcionar como servidor FTP.
%SYSDIR%\0.exe en el puerto TCP 2001 para funcionar como servidor HTTP.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el lunes 10 de julio de 2006
Descripción actualizada por Irina Boldea el lunes 10 de julio de 2006

Volver . . . .