RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Net-Worm.Win32.Mytob.w

Otras versiones: .be, .bi, .bk, .r

Alias
Net-Worm.Win32.Mytob.w (Kaspersky Lab) También conocido como: W32/Mydoom.gen@MM (NAI),   W32.Mytob.AG@mm (NAV),   Win32.HLLM.MyDoom.34 (DrWeb),   W32/Mytob-Y (Sophos),   Win32/Mytob.Z@mm (RAV),   WORM_MYDOOM.GEN (PCCIL),   Worm/Zusha.A (H+BEDV),   W32/Mytob.AN@mm (FPROT),   Win32.Worm.Mytob.W (BitDef7),   Worm.Mytob.H-3 (Clamav),   W32/Mytob.AE.worm (Panda),   Win32/Mytob.AF (Nod32)
Detección agregada 09 abr 2005 23:12 GMT
Descripción agregada 30 jun 2006
Comportamiento Net-Worm
Detalles técnicos

Este gusano de red infecta ordenadores con Windows. El gusano en sí es un archivo PE EXE escrito en C++. El archivo empaquetado es de un tamaño de 49281 bytes, y sin empaquetar es de 240 KB.

El gusano se propaga usando la vulnerabilidad de LSASS, detallada en el boletín de seguridad de Microsoft (Microsoft Security Bulletin MS04-011). El virus también se extiende por Internet como un anexo a los mensajes infectados.

Se envía a direcciones de correo electrónico recolectadas del ordenador de la víctima.

El gusano contiene una puerta trasera (backdoor) que recibe instrucciones vía IRC.

Instalación

Una vez ejecutado, el gusano se copia a sí mismo al directorio del sistema de Windows como "wincfg32.exe".

%System%\XpFirewall.exe

El gusano también crea copias de sí mismo en el directorio raíz de C: con los siguientes nombres:

C:\funny_pic.scr
C:\my_photo2005.scr
C:\see_this!!.scr

Luego el gusano se inscribe a sí mismo en el registro del sistema.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]
[HKLM\Software\Microsoft\OLE]
 "Windows Service XP"="XpFirewall.exe"

El gusano también crea un archivo llamado hellmsn.exe (que tiene un tamaño aproximado de 6 KB) en el directorio raiz de C:. Este archivo será detectado por Kaspersky Anti-Virus como Net-Worm.Win32.Mytob.f.

Propagación por Internet

El gusano escoge direcciones IP para atacar. Si detecta las vulnerabilidades LSASS o el DCOM RPC en el ordenador de la víctima potencial, ataca esta máquina.

Propagación por correo electrónico

El gusano recolecta direcciones de la libreta de direcciones de Windows y también de los archivos con las siguientes extensiones:

adb
asp
dbx
htm
php
pl
sht
tbb
wab

El gusano ignora las direcciones que contienen las siguientes cadenas de texto:

.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
www
you
your

Cuando envía el mensaje infectado el gusano establece una conexión directa con el servidor SMTP del destinatario.

Mensajes infectados

Remitente (incluye uno de los siguientes nombres):

  • adam
  • alex
  • andrew
  • anna
  • bill
  • bob
  • bob
  • brenda
  • brent
  • brian
  • britney
  • bush
  • claudia
  • dan
  • dave
  • david
  • debby
  • fred
  • george
  • helen
  • jack
  • james
  • jane
  • jerry
  • jim
  • jimmy
  • joe
  • john
  • jose
  • julie
  • kevin
  • leo
  • linda
  • lolita
  • madmax
  • maria
  • mary
  • matt
  • michael
  • mike
  • peter
  • ray
  • robert
  • sam
  • sandra
  • serg
  • smith
  • stan
  • steve
  • ted
  • tom

Asunto del mensaje (elegido al azar de la lista de abajo)

  • <blank field>
  • Error
  • Good day
  • Hello
  • Mail Delivery System
  • Mail Transaction Failed
  • Server Report
  • Status

Cuerpo del mensaje (elegido al azar de la lista de abajo)

  • Mail transaction failed. Partial message is available.
  • The original message was included as an attachments.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • Here are your banks documents.

Nombre del archivo adjunto (elegido al azar de la lista de abajo)

  • body
  • data
  • doc
  • document
  • file
  • message
  • readme
  • test
  • text

El archivo adjunto puede tener una o dos extensiones, elegidas de la lista de abajo:

  • bat
  • cmd
  • doc
  • exe
  • htm
  • pif
  • scr
  • tmp
  • txt
  • zip

Administración a distancia

Net-Worm.Win32.Mytob.w abre un puerto TCP en la máquina de la víctima para recibir órdenes vía IRC. Esto da al usuario malicioso un acceso completo al equipo de la víctima por IRC, para recibir información del ordenador, descargar archivos, iniciarlos y eliminarlos.

Otros

El gusano modifica el archivo para añadir el siguiente texto "%System%\drivers\etc\hosts”: Esto significa que el equipo de la víctima no podrá conectarse a los siguientes sitios:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
 		 

Copyright © 1996 - 2010
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com