|
MYTOB.AB gusano/backdoor de Correo e IRC explota vulnerabilidades bloquea acceso a sitios web, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Mytob.AB@mm, I.worm.Mytob.AB@mm
|
|
Mytob.AB es un destructivo gusano/backdoor residente en memoria, reportado el 08 de Abril del 2005, de propagación a través de mensajes de Correo con remitentes falsos,
asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.
Aprovecha las vulnerabilidades RPC/DCOM y LSASS descritas en los Boletines MS03-026 y MS04-011 abre un Backdoor vía puertos TCP 445, 135 o aleatorios se une a un canal del IRC
(Internet Relay Chat) desde el que recibe instrucciones y comandos.
|
Libera copias de variantes de este gusano y el troyano/backdoor Rootkit.
Los intrusos podrán tomar el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en MS Visual C++, con una extensión de 72 KB y comprimido con el utilitario MEW (desarrollado en C++ y Assembler por un grupo de hackers denominado Northfox):
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows, la carpeta temporal de Internet o archivos con las siguientes extensiones:
- adb
- asp
- dbx
- htm
- php
- sht
- tbb
- wab
también genera direcciones de correo usando uno de los siguientes nombres:
- andrew
- brenda
- brent
- brian
- britney
- claudia
- david
- debby
- george
- helen
- james
- jerry
- jimmy
- julie
- kevin
- linda
- lolita
- madmax
- maria
- michael
- peter
- robert
- sandra
- smith
- steve
con cualquiera de los dominios capturados del sistema infectado y al que aleatoriamente puede agregar:
evitando infectar direcciones de correo que tengan las siguientes cadenas:
- accoun
- admin
- anyone
- certific
- contact
- feste
- gold-certs
- icrosoft
- listserv
- nobody
- noone
- nothing
- ntivi
- Postmaster
- privacy
- rating
- service
- somebody
- someone
- submit
- support
- the.bat
- webmaster
o enviarse a los dominios con cualquiera de las cadenas:
- acketst
- arin.
- berkeley
- borlan
- example
- google
- ibm.com
- icrosof
- inpris
- isc.o
- isi.e
- kernel
- linux
- mit.e
- mozilla
- mydomai
- nodomai
- panda
- rfc-ed
- ripe.
- ruslis
- secur
- sendmail
- sopho
- tanford.e
- usenet
- utgers.ed
Integra los nombres de dominio a las siguientes cadenas para usarlas como servidores SMTP:
- gate.
- mail.
- mail1.
- mx.
- mx1.
- mxs.
- ns.
- relay.
- smtp
También extrae dominios de los buzones de correo usando la siguiente llave:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]
Los mensajes tienen las siguientes características:
Remitente, uno de los buzones extraídos del sistema infectado o direcciones falsas bajo la técnica Spoofing:
Asunto, aleatoriamente uno de los siguientes:
- [aleatarorio] extraído de cualquier mensaje de sistemas infectados
- Error
- Good day
- hello
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
Contenido, uno de los siguientes:
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The original message was included as an attachment.
- I have received your document. The corrected document is attached. a
Anexado, uno de estos nombres:
- [aleatarorio] extraído de cualquier mensaje de sistemas infectados
- body
- data
- doc
- document
- file
- message
- readme
- test
- text
seguido de cualquiera de las siguientes extensiones:
Si el archivo tiene extensión .ZIP la copia del gusano tiene una de las siguientes segundas extensiones:
Al activarse el gusano se copia a la carpeta %System% como COOLBOT.EXE y libera copias del gusano en el directorio raíz de C:\ con los nombres:
- eminem vs 2pac.scr
- funny pic.scr
- photo album.scr
y otras variantes del gusano, con los archivos coolbot.exe y winsys.exe, éste último libera a su vez el archivo Msdirectx.sys que es un troyano/backdoor de nombre Rootkit.
Para ejecutarse la próxima vez que se inicie el equipo agrega el siguiente valor:
"HELLBOT3" = "%System%\coolbot.exe"
a las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
[HKEY_CURRENT_USER\Software\Microsoft\Ole]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa]
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Inmediatamente ejecuta su rutina de propagación masiva de mensajes de correo y rastrea los sistemas con las vulnerabilidades DCOM RPC y LSASS,
haciendo uso de los puertos TCP 445, 135 o aleatorio que se encuentre disponible y abierto.
Actuando como Backdoor se conecta al servidor IRC 19.xxor.biz y se une al canal de Chat #m-rl4 desde el cual descarga una copia del gusano/backdoor Spybot y recibirá comandos e
instrucciones, pudiendo realizar entre otras, las siguientes acciones:
- Descargar y ejecutar archivos con códigos malignos.
- Obtener la versión del gusano.
- Actualizar la versión del gusano.
- Terminar el proceso del gusano.
- Borrar el gusano.
- Configurar un servidor FTP usando puertos aleatorios que se encuentren abiertos.
modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.kaspersky.com
- www.mcafee.com
- www.microsoft.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:
PER ANTIVIRUS® versión 9.2 con registro de virus al 08 de Abril del 2005 detecta y elimina eficientemente este gusano/backdoor.
