Net-Worm.Win32.Mytob.a

Estás en Inicio: Soporte Técnico: Alertas de Virus: Net-Worm.Win32.Mytob.a

Net-Worm.Win32.Mytob.a« Volver al listado de Virus

Alias:

W32.Mytob@mm, Win32.HLLM.MyDoom.19, W32/Mydoom.bg@MM, W32/Mytob.A.worm, W32/Mytob-A

Detalles Técnicos:

Este gusano de la red infecta las computadoras que funcionan bajo Windows. EL tamaño del archivo infectado es de aproximadamente 43KB y es un ejecutable .EXE de Windows, y ha sido ensamblado utilizando FSG. El archivo desempaquetado tiene aproximadamente un tamaño de 143KB.

El gusano se propaga vía Internet utilizando una vulnerabilidad en el servicio de Windows LSASS. Pueden ver la informacion sobre esta vulnerabilidad MS04-011 aquí.

También se propaga vía el Internet como archvo adjunto a los mensajes infectados. Se envía a las direcciones del email encontradas en la máquina de las víctimas.

El gusano esta basado en el código de fuente de Email-Worm.Win32.Mydoom. Mytob.a también contiene una función backdoor que es controlada vía los canales del IRC.

Infección y propagación.

Una vez que esté lanzado, el gusano se copie al directorio del sistema de Windows como msnmsgr.exe:

%System%\msnmsgr.exe

Entonces añade este entrada "MSN"="msnmsgr.exe" en las siguientes entradas del registro del sistema, para que se ejecute con cada reinicio del sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]

Propagación mediante la vulnerabilidad de LSASS:

El gusano selecciona direcciones del IP para atacar, y envía peticiones al puerto 445. Si responde la computadora remota, el gusano explotará la vulnerabilidad LSASS y se ejecutara en esta nueva víctima.

Propagación mediante correo electrónico:

El gusano cosecha direcciones del email de las agendas de direcciónes de MS WINDOWS, y también explora archivos con las siguentes extensionesm, buscando posibles victimas:

. adb
. asp
. dbx
. htm
. php
. pl
. sht
. tbb
. wab

El gusano no hará caso de las direcciones que contienen las secuencias de texto siguientes:

. edu
. gov
. mil
. accoun
. acketst
. admin
. anyone
. arin.
. avp
. berkeley
. borlan
. bsd
. bugs
. ca
. certific
. contact
. example
. feste
. fido
. foo
. fsf
. gnu
. gold-certs
. google
. gov
. help
. hotmail
. iana
. ibm.com
. icrosof
. icrosoft
. ietf
. info
. inpris
. isc.o
. isi.e
. kernel
. linux
. listserv
. math
. me
. mit.e
. mozilla
. msn.
. mydomai
. no
. nobody
. nodomai
. noone
. not
. nothing
. ntivi
. page
. panda
. pgp
. postmaster
. privacy
. rating
. rfc-ed
. ripe
. root
. ruslis
. samples
. secur
. sendmail
. service
. site
. soft
. somebody
. someone
. sopho
. submit
. support
. syma
. tanford.e
. the.bat
. unix
. usenet
. utgers.ed
. webmaster
. you
. your

Estructura de los mensajes infectados.

Asunto:
# Error
# hello
# hi
# Mail Delivery System
# Mail Transaction Failed
# Server Report
# Status
# test

Cuerpo mensaje:
# Mail transaction failed. Partial message is available.

# The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

# The message contains Unicode characters and has been sent as a binary attachment.

# test

Archivo adjunto:
# body
# data
# doc
# document
# file
# message
# readme
# test
# text

Estos archivos pueden tener la extensión:
# bat
# cmd
# doc
# exe
# htm
# pif
# scr
# tmp
# txt
# zip

Administracion Remota:

Net-Worm.Win32.Mytob.a abre el puerto 6667 en la máquina de la víctima para conectar con los canales del IRC y permanece a la escucha esperando alguna orden. Un usuario externo podrá tener el acceso completo a la computadora infectada, recibir información de la máquina infectada, y podrá descargar, ejecutar y suprimir archivos.

Desinfección:

La protección contra los virus Net-Worm.Win32.Mytob.a/Mytob.b/Mytob.c ya se añadió a las bases de virus de Kaspersky Antivirus, mantenga actualizado su Antivirus.

Para desinfectarlo actualize las bases antivirus y proceda a ejecutar el escáner del Kaspersky Antivirus.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.