Worm-Backdoor.W32/Mytob.ED@MM
Alias:
WORM_MYTOB.ED (Trend Micro), Net-Worm.Win32.Mytob.au (Kaspersky
(viruslist.com)), W32.Mydoom.BO@mm (Symantec), W32/Mytob.gen@MM
(McAfee), W32/Mytob-BC (Sophos), W32/Mytob-CF (Sophos),
WORM_MYTOB.EC (Trend Micro), W32/Mytob.CU.worm (Panda Software)
Descripción:
Gusano que se propaga como anexo a un correo electrónico (en inglés)
que se envía a direcciones capturadas en determinados ficheros,
directorios y en la libreta de contactos de Windows del equipo
afectado.
Puede actuar como puerta trasera permitiendo que un atacante remoto
ejecute comandos en la máquina afectado.
Detiene la ejecución de procesos relativos a antivirus y
aplicaciones de seguridad, e impide el acceso a determinados sitios
web también referentes a compañías de seguridad informática. El
sistema queda así, vulnerable frente a otras amenazas.
Detalles:
Instalación y Técnicas de Autoarranque
Este gusano se propaga como fichero anexo a un correo que es
remitido a direcciones electrónicas incluidas en determinados
ficheros y directorios del equipo afectado.
Para el envío utiliza su propio motor SMTP (Simple Mail Transfer
Protocol) lo que hace independiente su funcionamiento del cliente de
correo instalado en el equipo.
Cuando es ejecutado, Worm-Backdoor.W32/Mytob.ED@MM deja una
copia de sí mismo en el directorio del sistema de Windows con el
nombre 1HELLBOT.EXE.
Para ejecutarse automáticamente cada vez que el sistema es
reiniciado, añade el valor indicado a las siguientes claves del
registro de Windows:
Claves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Valor: HELLBOT TEST =
"1hellbot.exe"
Para deshabilitar el cortafuego de Windows XP SP2, modifica
el valor indicado de la siguiente clave del registro:
Clave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess
Valor: Start =
"4"
Propagación por correo
electrónico
Este código se propaga a través del envío de copias de sí mismo
como anexo a correos electrónicos enviados utilizando su propio
motor SMTP.
El mensaje enviado tiene las siguientes características:
Asunto: uno de los siguientes:
- Error
- hello
- Here is your documents.
- Mail Delivery System
- Mail Transaction Failed
- Re: Thank you for delivery
- Server Report
- something for you
- Status
- *IMPORTANT* Please Validate Your Email
Account
- *IMPORTANT* Your Account Has Been Locked
- Email Account Suspension
- Notice: **Last Warning**
- Notice:***Your email account will be
suspended***
- Security measures
- Your email account access is restricted
- Your Email Account is Suspended For
Security Reasons
Cuerpo del mensaje: uno de los
siguientes:
- Account Information Are Attached!
- Once you have completed the form in the
attached file , your account records will not be interrupted and
will continue as normal.
- please look at attached document.
- Please see the attachement.
- To safeguard your email account from
possible termination, please see the attached file.
- To unblock your email account acces,
please see the attachement.
- We have suspended some of your email
services, to resolve the problem you should read the attached
document.
Fichero Anexo: uno de los
siguientes:
- email-doc
- email-info
- email-text
- information
- your_details
- document_full
- IMPORTANT
- info-text
- {- aleatorio -}
con alguna de las siguientes extensiones:
Cuando es posible, el gusano comprime los ficheros anexos,
resultando un anexo de extensión .zip.
Obtiene las direcciones electrónicas a las que remitir el correo de
tres fuentes:
- Del directorio Temporal de Internet
- De la libreta de contactos de Windows
(WAB)
- De ficheros con alguna de las siguientes
extensiones
- ADB
- ASP
- DBX
- HTM
- PHP
- PL
- SHT
- TBB
- WAB
Evita enviar el mensaje a direcciones que contengan alguna de las
siguientes subcadenas de texto:
- accoun
- admin
- anyone
- bat
- bugs
- ca
- certific
- contact
- feste
- gold-certs
- help
- icrosoft
- info
- listserv
- me
- no
- nobody
- noone
- not
- nothing
- ntivi
- page
- postmaster
- privacy
- rating
- root
- samples
- service
- site
- soft
- somebody
- someone
- submit
- support
- the
- webmaster
- you
- your
Tampoco envía el mensaje a aquellas direcciones cuyo nombre de
dominio contenga alguna de las siguientes subcadenas:
- .edu
- .gov
- .mil
- abuse
- acketst
- arin.
- avp
- berkeley
- borlan
- bsd
- example
- fcn
- fido
- foo.
- gnu
- google
- gov.
- hotmail
- iana
- ibm.com
- icrosof
- ietf
- inpris
- isc.o
- isi.e
- kernel
- linux
- math
- mit.e
- mozilla
- msn.
- mydomai
- nodomai
- panda
- pgp
- rfc-ed
- ripe.
- ruslis
- secur
- sendmail
- sopho
- syma
- tanford.e
- unix
- usenet
- utgers.ed
Capacidad de Puerta
Trasera
Worm-Backdoor.W32/Mytob.ED@MM tiene también capacidad para
actuar como puerta trasera.
Se conecta al servidor de IRC (Internet Relay Chat) de nombre irc.blackcarder.net.
Una vez establecida la conexión, se une a determinado canal, por el
que espera recibir comandos procedentes de un atacante remoto.
Algunos de los comandos que pueden ser ejecutados en el equipo
infectado de forma remota son:
- Descargar ficheros.
- Ejecutar ficheros.
- Obtener la versión del gusano.
- Eliminar el gusano.
- Finalizar la ejecución del gusano.
- Actualizar el gusano.
Detención de Procesos
Este gusano detiene la ejecución de los siguientes procesos,
algunos de ellos relativos a programas antivirus y de seguridad
informática, lo que deja desprotegido el sistema frente a otras
amenazas:
- cmd.exe
- Msconfig.exe
- navapw32.exe
- navw32.exe
- netstat.exe
- Regedit.exe
- taskmgr.exe
- zapro.exe
- zonealarm.exe
Modificación del
fichero HOSTS
Worm-Backdoor.W32/Mytob.ED@MM modifica el fichero HOSTS,
el cual asocia el nombre de los equipos a su dirección IP.
Suele estar localizado en el directorio %System%\drivers\etc
Añade una lista de sitios web a los que asocia la dirección
127.0.0.1, que es la de la propia máquina.
Con esta técnica, evita que se acceda a los sitios web que están
asociados a la dirección 127.0.0.1, siendo redirigido el usuario a
su propia máquian.
Las lineas añadidas al fichero son las siguientes, muchas
pertenecientes a antivirus y sitios de seguridad informática, de
modo que el usuario no podrá acceder a esos sitios web:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.grisoft.com
- www.kaspersky.com
- www.mcafee.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
Otros Detalles
Este gusano crea un mutex de nombre H-e-l-l-B-o-t-3!!! para
no ejecutarse más de una vez en memoria.
Nota: Un mutex es un objeto
utilizado para controlar el acceso a recursos (cualquier tipo de
programas y aplicaciones, etc.) y evitar que más de un proceso
acceda al mismo tiempo al mismo recurso. Esto previene la múltiple
carga del gusano en memoria.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar
el archivo.
- En el caso de que no se pueda eliminar el fichero del virus,
debe terminar manualmente el proceso en ejecución del virus.
Abra el Administrador de tareas (presione Control+Mayúsculas+Esc).
En Windows 98/Me seleccione el nombre del proceso y deténgalo.
En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho
en el proceso y seleccione 'Terminar Proceso'. A continuación
vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Para evitar que el gusano sea ejecutado automáticamente cada
vez que el sistema es reiniciado, elimine de las siguientes
claves del registro de Windows, el valor indicado:
Claves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Valor: HELLBOT TEST =
"1hellbot.exe"
Para volver a habilitar el cortafuegos de Windows XP SP2,
restaure el valor indicado de la siguiente clave del registro:
Clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess
Valor nuevo: Start = "2"
- Reincie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más Información sobre este virus en:
Fuente: red.es |
