Descripción completa

Nombre:	Worm/Mytob.IL
Descubierto:	11/07/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	32.804 Bytes
Suma de control MD5:	0caef9bac137c033af9c5dfa37cbf2ad
Versión del IVDF:	6.31.00.180 - lunes 11 de julio de 2005

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Mcafee: W32/Mytob.gen
   • Sophos: W32/Mytob-DI
   • Panda: W32/Spamta.gen.worm
   • Eset: Win32/Mydoom.BI
   • Bitdefender: Win32.Worm.Mytob.BT

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\M0USE.exe

Sobrescribe un fichero.
– %SYSDIR%\drivers\etc\hosts

Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Userinterface Report3r"="M0USE.exe"

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe M0USE.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuevo valor:
   • "Start"=dword:0x00000004

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.
La dirección del remitente es la cuenta de Outlook del usuario.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

Asunto:
Uno de los siguientes:
   • *DETECTED* Online User Violation
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • YOUR ACCOUNT IS SUSPENDED
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated

El cuerpo del mensaje:
– El cuerpo del mensaje de correo está vacío.

Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • iphp.zip
   • irscd.zip
   • new-password.zip
   • password.zip
   • rfb.zip
   • ums.zip
   • updated-password.zip
   • yzmeisu.zip

– Empieza por uno de los siguientes:
El archivo adjunto es una copia del propio programa malicioso.

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab; html; adb; tbb; dbx; php; xml; cgi; jsp; sht; htm

Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.
Para generar direcciones, emplea los siguientes textos:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; ca; feste; submit; not; help; service; privacy;
      somebody; no; soft; contact; site; rating; bugs; me; you; your;
      someone; anyone; nothing; nobody; noone; webmaster; postmaster;
      samples; info; root

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: name.turkinti**********.com
Puerto: 7745
Canal: #news
Apodo: ]XP[%número%
Contraseña: comeon

– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Terminar proceso
    • Se actualiza solo

Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • 127.0.0.1 www.symantec.com; 127.0.0.1 securityresponse.symantec.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.sophos.com;
      127.0.0.1 sophos.com; 127.0.0.1 www.mcafee.com; 127.0.0.1 mcafee.com;
      127.0.0.1 liveupdate.symantecliveupdate.com;
      127.0.0.1 www.viruslist.com; 127.0.0.1 viruslist.com;
      127.0.0.1 viruslist.com; 127.0.0.1 f-secure.com;
      127.0.0.1 www.f-secure.com; 127.0.0.1 kaspersky.com;
      127.0.0.1 kaspersky-labs.com; 127.0.0.1 www.avp.com;
      127.0.0.1 www.kaspersky.com; 127.0.0.1 avp.com;
      127.0.0.1 www.networkassociates.com; 127.0.0.1 networkassociates.com;
      127.0.0.1 www.ca.com; 127.0.0.1 ca.com; 127.0.0.1 mast.mcafee.com;
      127.0.0.1 my-etrust.com; 127.0.0.1 www.my-etrust.com;
      127.0.0.1 download.mcafee.com; 127.0.0.1 dispatch.mcafee.com;
      127.0.0.1 secure.nai.com; 127.0.0.1 nai.com; 127.0.0.1 www.nai.com;
      127.0.0.1 update.symantec.com; 127.0.0.1 updates.symantec.com;
      127.0.0.1 us.mcafee.com; 127.0.0.1 liveupdate.symantec.com;
      127.0.0.1 customer.symantec.com; 127.0.0.1 rads.mcafee.com;
      127.0.0.1 trendmicro.com; 127.0.0.1 pandasoftware.com;
      127.0.0.1 www.pandasoftware.com; 127.0.0.1 www.trendmicro.com;
      127.0.0.1 www.grisoft.com; 127.0.0.1 www.microsoft.com;
      127.0.0.1 microsoft.com; 127.0.0.1 www.virustotal.com;
      127.0.0.1 virustotal.com; 127.0.0.1 www.amazon.com;
      127.0.0.1 www.amazon.co.uk; 127.0.0.1 www.amazon.ca;
      127.0.0.1 www.amazon.fr; 127.0.0.1 www.paypal.com;
      127.0.0.1 paypal.com; 127.0.0.1 moneybookers.com;
      127.0.0.1 www.moneybookers.com; 127.0.0.1 www.ebay.com;
      127.0.0.1 ebay.com

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el lunes 23 de noviembre de 2009
Descripción actualizada por Petre Galan el martes 24 de noviembre de 2009

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas