Otras versiones: .be, .bk, .r, .w
Net-Worm.Win32.Mytob.bi (Kaspersky Lab)
También conocido como:
W32/Mytob.gen@MM (NAI), W32.Mytob.FI@mm (NAV), Win32.HLLM.MyDoom.42 (DrWeb), W32/MyDoom-Gen (Sophos), Worm/Mytob.GC (H+BEDV), Backdoor.SDBot.Phatbot (BitDef7), Worm.Mytob.AS (Clamav), W32/Gaobot.JJ.worm (Panda), Win32/Mytob.DZ (Nod32)
| Detección agregada |
10 jun 2005 06:10 GMT |
| Descripción agregada |
30 jun 2006 |
| Comportamiento |
Net-Worm |
Este gusano de la red es típico de la familia de Mytob. Infecta ordenadores
que se ejecutan con Windows. Se extiende vía Internet como un anexo a
los mensajes infectados, incluye un programa de puerta trasera (backdoor) que
recibe ordenes vía canales de charla interactiva IRC.
Instalación
Una vez ejecutado, el gusano se copia a sí mismo en el directorio del
sistema de Windows. También se registra en el registro del sistema de
Windows, esto asegura que el gusano se ejecutará cada vez que se reinicie
Windows en el ordenador de la víctima.
Propagación por correo electrónico
También se propaga por Internet como un anexo a los mensajes infectados
Se envía a direcciones de correo electrónico recolectadas del
equipo de la víctima.
Mensajes infectados
Daños
Net-Worm.Win32.Mytob.bi abre un puerto TCP en el ordenador de la víctima
y se conecta a canales IRC de charla interactiva para recibir ordenes. Esto
da al usuario malicioso un acceso completo al equipo de la víctima vía
canales IRC, haciendo posible recibir información del ordenador infectado,
descargar archivos, iniciarlos y eliminarlos.
El gusano también termina los procesos relacionados con las soluciones
de un antivirus, cortafuegos (firewalls), y otros programas de seguridad.
El gusano también modifica el archivo %System%\drivers\etc\hosts para
bloquear el acceso del ordenador de la víctima a los sitios de distribución
de antivirus.
