Worm.W32/Mytob.EG@MM

Alias:
WORM_MYTOB.EG (Trend Micro), W32.Mydoom.BQ@mm (Symantec), Net-Worm.Win32.Mytob.au (Kaspersky (viruslist.com)), W32/Mytob-AU (Sophos)

Descripción:
Nueva versión de Mytob que se  propaga a través de mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Abre una puerta trasera sobre el puerto TCP 7000 y se une a un canal del IRC (Internet Relay Chat) desde el que recibe instrucciones y comandos en forma remota para hacerse con el control del sistema infectado.  

Termina procesos en ejecución, deshabilita el Firewall de Windows XP, modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software antivirus, firewalls y de control.

Detalles:
Instalación 

Cando se ejecuta, crea un mutex H-e-l-l-B-o-t-3!! para evitar no volver a infectar la misma máquina.

Se copia a la carpeta %System% con el nombre de Internet.exe y para ejecutarse la próxima vez que se inicie el equipo agrega las siguientes claves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
Internet Services = "%System%\Internet.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
Internet Services = "%System%\Internet.exe"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = "4" 

En el siguiente reinicio termina los siguientes procesos que estuviesen en ejecución:

• cmd.exe
• Msconfig.exe
• navapw32.exe
• navw32.exe
• netstat.exe
• PandaAVEngine.exe
• Regedit.exe
• taskmgr.exe
• wincfg32.exe
• zapro.exe
• zonealarm.exe

Usando su propio SMTP (Simple Mail Transfer Protocol) revisa las unidades de disco de la C: a ala Y: capturando las direcciones de correo de la carpeta temporal de Internet.

• adb
• asp
• cgi
• dbx
• htm
• jsp
• php
• pl
• sht
• tbb
• xml
• wab

También captura buzones de la Libreta de Direcciones de Windows o usando uno de los siguientes nombres:

• adam
• Admin
• Administrator
• alex
• alice
• andrew
• anna
• bill
• bob
• brenda
• brent
• brian
• claudia
• dan
• dave
• david
• debby
• fred
• george
• helen
• Hostmaster
• Info
• jack
• james
• jane
• jerry
• jim
• jimmy
• joe
• john
• jose
• julie
• kevin
• leo
• linda
• Mail
• maria
• mary
• matt
• michael
• mike
• peter
• ray
• Register
• robert
• sam
• serg
• Service
• smith
• Staff
• stan
• steve
• Support
• ted
• tom
• Webmaster

Con cualquiera de los dominios capturados del sistema infectado.

Evitará incluir direcciones de correo que tengan las siguientes cadenas:

• accoun
• admin
• anyone
• bsd
• bugs
• ca
• certific
• contact
• feste
• gold-certs
• google
• help
• icrosoft
• info
• linux
• listserv
• me
• no
• nobody
• noone
• not
• nothing
• ntivi
• page
• postmaster
• privacy
• rating
• root
• samples
• service
• site
• soft
• somebody
• someone
• submit
• support
• the.bat
• unix
• webmaster
• you
• your

Tampoco sobre los dominios con cualquiera de las cadenas:

• .edu
• .gov
• .mil
• abuse
• acketst
• arin.
• avp
• berkeley
• borlan
• bsd
• example
• fcn
• fido
• foo.
• fsf.
• gnu
• google
• gov.
• hotmail
• iana
• ibm.com
• icrosof
• ietf
• inpris
• isc.o
• isi.e
• kernel
• linux
• math
• mit.e
• mozilla
• msn.
• mydomai
• nodomai
• panda
• pgp
• rfc-ed
• ripe.
• ruslis
• secur
• sendmail
• sopho
• syma
• tanford.e
• unix
• usenet
• utgers.ed

Invoca los Servidores Exchange e integra los nombres de dominio a las siguientes cadenas para usarlas como servidores SMTP:

• gate.
• mail.
• mail1.
• mx.
• mx1.
• mxs.
• ns.
• relay.
• smtp.

También extrae dominios de los buzones de correo usando la siguiente clave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]

Los mensajes tienen las siguientes características:

Remitente:, uno de los buzones extraídos del sistema infectado o direcciones falsas bajo la técnica Spoofing:

Asunto: aleatoriamente uno de los siguientes:

• *IMPORTANT* Please Validate Your Email Account
• *IMPORTANT* Your Account Has Been Locked
• Email Account Suspension
• Notice: **Last Warning**
• Notice:***Your email account will be suspended***
• Security measures
• Your email account access is restricted
• Your Email Account is Suspended For Security Reasons
• [aleatorio]

Contenido: uno de los siguientes:

• Account Information Are Attached!
• Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
• please look at attached document.
• To safeguard your email account from possible termination, please see the attached file.
• To unblock your email account acces, please see the attachement.
• We have suspended some of your email services, to resolve the problem you should read the attached document.
• [aleatorio]

Anexo: uno de estos nombres:

• document_full
• email-doc
• email-info
• email-text
• IMPORTANT
• information
• info-text
• your_details
• [aleatorio]

  seguido de cualquiera de las siguientes extensiones:
  
  

• bat
• cmd
• exe
• pif
• scr
• zip

  Si el archivo tiene extensión .ZIP la copia del gusano tiene una de las siguientes segundas extensiones:
  
  

• .doc
• .txt
• .htm
• .html

Actuando como Backdoor usando el puerto TCP 7000 se conecta al servidor IRC server irc.blackcarder.net y se une al canal de Chat #31337 desde el cual recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes acciones:

• Descargar y ejecutar archivos con códigos malignos.
• Obtener información del sistema y la velocidad de conexión a Internet.
• Conectarse y desconectarse del canal de Chat.
• Enviar mensajes a través del canal de Chat.
• Enviar o terminar su rutina de envío masivo de mensajes masivos de correo.
• Actualizar la versión del gusano.
• Auto-eliminar el gusano.
• Tomar control en forma remota del sistema infectado.

Modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:

• avp.com
• ca.com
• customer.symantec.com
• dispatch.mcafee.com
• download.mcafee.com
• f-secure.com
• kaspersky-labs.com
• kaspersky.com
• liveupdate.symantec.com
• liveupdate.symantecliveupdate.com
• mast.mcafee.com
• mcafee.com
• my-etrust.com
• nai.com
• networkassociates.com
• rads.mcafee.com
• secure.nai.com
• securityresponse.symantec.com
• sophos.com
• symantec.com
• trendmicro.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• viruslist.com
• www.avp.com
• www.ca.com
• www.f-secure.com
• www.grisoft.com
• www.kaspersky.com
• www.mcafee.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com

El gusano a agrega al archivo HOSTS la cadena de texto:

-=Copyright (C) 2005-2006 HellBot3 Team All Rights Reserved.=-

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el archivo.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, el valor indicado:

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
   Internet Services = "%System%\Internet.exe"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
   Internet Services = "%System%\Internet.exe"

   Para volver a habilitar el cortafuegos de Windows XP SP2, restaure el valor indicado de la siguiente clave del registro:

   Clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess
   Valor nuevo: Start = "2" 
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Trend Micro
• Symantec

Fuente: red.es