¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Wootbot.135451
Descubierto:09/01/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:135.451 Bytes
Suma de control MD5:fcc1ddae2e3508f2217f9f9bef957258
Versin del VDF:6.33.00.104

 General Mtodo de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32/Mytob.gen@MM
   •  Sophos: W32/Forbot-FG
   •  Grisoft: I-Worm/Mytob.LW
   •  VirusBuster: I-Worm.Mytob.KJ
   •  Eset: Win32/Mytob.IL


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\smsks.exe

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, aadido para ejecutar los procesos al reiniciar el sistema.

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Microsoft Services Manual Contrl"="smsks.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Dear %el dominio del destinatario desde la direccin de correo% Member,
     We have temporarily suspended your email account %direccin de correo del destinatario%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %el dominio del destinatario desde la direccin de correo% account.
     Sincerely,The %el dominio del remitente desde la direccin de correo% Support Team

   • Dear%el dominio del destinatario desde la direccin de correo% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %el dominio del remitente desde la direccin de correo% Support Team

   • Some information about your %el dominio del destinatario desde la direccin de correo% account is attached.
     The %el dominio del remitente desde la direccin de correo% Support Team


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • readme.zip
   • document.zip
   • account-report.zip
   • account-info.zip
   • email-details.zip
   • account-details.zip
   • important-details.zip
   • information.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; txt; tmp


Creacin de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • register
   • mail
   • administrator
   • service



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: %direccin IP aleatoria%



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
     Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
    • Terminar proceso
    • Ejecutar ataque DDoS
     Realizar un anlisis de la red
    • Redirigir puertos
     Registrar un servicio
    • Reiniciar sistema
    • Enviar mensajes de correo
     Se actualiza solo

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\smsks.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

 Robo de informaciones  Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=; card=; cctype=;
      ccnumber=; amex=; visa=; mastercard=; VISA=; pass=; login=; password=;
      passwd=; :.login; :!login; :.secure; :!advscan; :.advscan; :.ipscan;
      :!ident; :.ident

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el martes 15 de agosto de 2006
Descripción actualizada por Irina Boldea el miércoles 16 de agosto de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.