¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Mytob.KH
Descubierto:09/10/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:37.888 Bytes
Suma de control MD5:641f2da941507529f31d86c2a2ba0A06
Versión del VDF:6.32.00.69

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Email-Worm.Win32.Fanbot.f
   •  F-Secure: W32/Mytob.MT@mm
   •  Grisoft: I-Worm/Mytob.MC
   •  VirusBuster: Email-Worm.Win32.Fanbot.f
   •  Bitdefender: Win32.Fanbot.F@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Desactiva los programas de seguridad
   • Suelta un fichero
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de su ejecución, muestra la siguiente información:

La imagen se ha editado para que se muestre.

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%valores hex%.tmp



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %TEMPDIR%\tmp%valores hex%.tmp
   • %TEMPDIR%\Setup\CXMO%número%.exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



Crea el siguiente fichero:

– C:\Shell.sys Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • fuck!!!
     The Active Windows Title: %Procesos con ventanas visibles%

 Registro Modifica la siguiente clave del registro:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
El remitente del mensaje de correo es uno de los siguientes:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

En algunos casos el campo del asunto está vacío.
Además, el campo del asunto podría incluir caracteres aleatorios.


El cuerpo del mensaje:
–  Se ha creado con una expresión regular.
–  En algunos casos puede estar vacío.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje es uno de los siguientes:

   • Dear user %nombre de usuario de la cuenta de correo%,
     It has come to our attention that your receiver's %dominio del remitente% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %dominio del remitente%!
     The %dominio del remitente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del remitente% Antivirus - www.%dominio del remitente%

   • Dear %dominio del remitente% Member,
     We have temporarily suspended your email account %dirección de correo del destinatario%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %dominio del remitente% account.
     Sincerely,The %dominio del remitente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del remitente% Antivirus - www.%dominio del remitente%

   • Dear %dominio del remitente% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %dominio del remitente%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %dominio del remitente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del remitente% Antivirus - www.%dominio del remitente%

   • Dear user %nombre de usuario de la cuenta de correo%,
     You have successfully updated the password of your %dominio del remitente%account.
     If you did not authorize this change or if you need assistance with your account, please contact %dominio del remitente% customer service at: %dirección de correo del remitente%
     Thank you for using %dominio del remitente%!
     The %dominio del remitente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del remitente% Antivirus - www.%dominio del remitente%


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: SmallPhantom.3322.**********
Canal: #xiaoyu

Servidor: SmallPhantom.meibu.**********
Canal: #xiaoyu



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario
    • Actividad local de los usuarios
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Iniciar la captura de pulsaciones de teclado
    • Iniciar la rutina de propagación
    • Terminar proceso viral
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




El fichero host modificado se verá así:


 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas
– Contraseñas guardadas, empleadas por la función AutoComplete

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • [Phantom]

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • LCC WIN32 1.x

Descripción insertada por Monica Ghitun el viernes, 23 de noviembre de 2007
Descripción actualizada por Andrei Gherman el martes, 27 de noviembre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.