Worm/Mytob.LQ - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Mytob.LQ
Descubierto:	22/11/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	26.156 Bytes
Suma de control MD5:	10fadc6f6dc2ff2e5b006630dd2a3952
Versión del VDF:	6.32.00.209

General Método de propagación:
   • Correo electrónico

Alias:
   • Kaspersky: Net-Worm.Win32.Mytob.bi
   • TrendMicro: WORM_MYTOB.MU
   • F-Secure: W32/Mytob.PI@mm
   • VirusBuster: iworm I-Worm.Mytob.OC
   • Bitdefender: Win32.Worm.MyTob.CX

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\windbg32.exe

Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS Debugger"="windbg32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS Debugger"="windbg32.exe"

Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=dword:00000004

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas

Asunto:
Uno de los siguientes:
   • *IMPORTANT* Winnings notification
   • Claim Your Free 4GB iPod nano!
   • Claim your free prize
   • Free Account Signup
   • Free Prize.
   • Important Notification
   • Notice of prize winnings
   • Retrive You Free iPod Nano!
   • Sending Free iPod measures
   • Shipping Address Request (YourFreeiPod.com)
   • Your Account is a winner
   • YourFreeiPod Support
   • Winnings Claim

Además, el campo del asunto podría incluir caracteres aleatorios.

El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es uno de los siguientes:

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario%,
     You have been picked to receive a free prize!
     Check the attachment in this email for claiming your prize.
     Thank you
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %dominio de los destinatarios% Antivirus - www.%el dominio del destinatario desde la dirección de correo%

   • Dear user %el nombre de usuario desde la dirección de correo del destinatario%,
     It has come to our attention that your one of five winners this month from YourFreeiPod.com
     Please see the attachment in the email for further details.
     Thank you for using YourFreeiPod.com!
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %dominio de los destinatarios% Antivirus - www.%el dominio del destinatario desde la dirección de correo%


   • Dear %dominio de los destinatarios% Member,
     Please claim your free iPod Movie mediaplayer
     Us here at YourFreeiPod.com like to treat our members so we give away a free iPod every month.
     Attached to this email is the details on how you can claim your prize
     Sincerely,The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %dominio de los destinatarios% Antivirus - www.%el dominio del destinatario desde la dirección de correo%


   • Dear %dominio de los destinatarios% Member,
     Your e-mail account was picked from an online site www.YourFreeiPod.com. Since we did pull your name from the hat you are intitled to receive FREE 4GB Black iPod Nano.
     Please read the attachment in this email for further instructions. If you choose to ignore our request, you leave us no choice but to forfeit your winnings.
     Virtually yours,
     The YourFreeiPod Team
     +++ Attachment: No Virus found Scanned with Nod32
     +++ %dominio de los destinatarios% Antivirus - www.%el dominio del destinatario desde la dirección de correo%

Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • accept-terms.zip
   • claim-infomation.zip
   • claim-prize.zip
   • document.zip
   • fat.zip
   • important-details.zip
   • merchandise.zip
   • readme.zip
   • ship-prize.zip
   • shipping-details.zip
   • terms.zip
   • winner-details.zip
   • winnings-report.zip

El adjunto es un archivo que contiene una copia del programa viral.

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .wab; .adb; .tbb; .dbx; .asp; .php; .sht; .htm; .html; .pl; .txt;
      .xml; .cgi; .jsp

Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.

Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .gov; .mil; abuse; accoun; acketst; admin; admin; administrator;
      anyone; arin.; avp; berkeley; borlan; bsd; bsd; bugs; certific;
      contact; example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs;
      google; google; gov.; help; hotmail; iana; ibm.com; icrosof; icrosoft;
      ietf; info; info; inpris; isc.o; isi.e; kernel; linux; linux;
      listserv; mail; math; mit.e; mozilla; msn.; mydomai; nobody; nodomai;
      noone; not; nothing; ntivi; page; panda; pgp; postmaster; privacy;
      rating; register; rfc-ed; ripe.; root; ruslis; samples; secur; secur;
      sendmail; service; service; site; soft; somebody; someone; sopho; spm;
      submit; support; support; syma; tanford.e; the.bat; unix; unix;
      usenet; utgers.ed; webmaster; webmaster; www; you; your

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: tx.h**********.info
Puerto: 59999
Canal: #iPod
Apodo: %serie de caracteres aleatorios%
Contraseña: iPod

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

– Además puede efectuar las siguientes operaciones:
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Enviar mensajes de correo
    • Se actualiza solo

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• iPod

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Daniel Constantin el Mon, 12 Dec 2005 14:18 (GMT+1)
Descripción actualizada por Daniel Constantin el Tue, 13 Dec 2005 14:50 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver