|
MYTOB.AP gusano/backdoor de Correo e IRC explota vulnerabilidades bloquea acceso a sitios web, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Mytob.AP@mm, I.worm.Mytob.AP@mm
|
|
Mytob.AP es la última variante de la familia de gusanos/backdoors Mytob, reportada el 12 de Abril del 2005, de propagación a través de
mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.
Explota la vulnerabilidad LSASS descrita en el Boletín MS04-011 abre un Backdoor en redes con recursos compartidos configuradas con contraseñas débiles y se une a un canal del IRC (Internet Relay Chat)
desde el que recibe instrucciones y comandos.
|
Libera copias del troyano/backdoor Rootdrop.
Los intrusos podrán tomar el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.
Es un PE (Portable Ejecutable) e infecta Windows 2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en MS Visual C++, con una extensión de 73 KB y comprimido con el utilitario MEW (desarrollado en C++ y Assembler por un grupo de hackers denominado Northfox):
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows, la carpeta temporal de Internet o archivos con las siguientes extensiones:
- adb
- asp
- dbx
- htm
- php
- sht
- tbb
- wab
también genera direcciones de correo usando uno de los siguientes nombres:
- andrew
- brenda
- brent
- brian
- britney
- claudia
- david
- debby
- george
- helen
- james
- jerry
- jimmy
- julie
- kevin
- linda
- lolita
- madmax
- maria
- michael
- peter
- robert
- sandra
- smith
- steve
con cualquiera de los dominios capturados del sistema infectado y al que aleatoriamente puede agregar:
evitando infectar direcciones de correo que tengan las siguientes cadenas:
- accoun
- admin
- anyone
- certific
- contact
- feste
- gold-certs
- icrosoft
- listserv
- nobody
- noone
- nothing
- ntivi
- Postmaster
- privacy
- rating
- service
- somebody
- someone
- submit
- support
- the.bat
- webmaster
o enviarse a los dominios con cualquiera de las cadenas:
- acketst
- arin.
- berkeley
- borlan
- example
- google
- ibm.com
- icrosof
- inpris
- isc.o
- isi.e
- kernel
- linux
- mit.e
- mozilla
- mydomai
- nodomai
- panda
- rfc-ed
- ripe.
- ruslis
- secur
- sendmail
- sopho
- tanford.e
- usenet
- utgers.ed
Integra los nombres de dominio a las siguientes cadenas para usarlas como servidores SMTP:
- gate.
- mail.
- mail1.
- mx.
- mx1.
- mxs.
- ns.
- relay.
- smtp
También extrae dominios de los buzones de correo usando la siguiente llave:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]
Los mensajes tienen las siguientes características:
Remitente, uno de los buzones extraídos del sistema infectado o direcciones falsas bajo la técnica Spoofing:
Asunto, aleatoriamente uno de los siguientes:
- document
- Dqspm
- Error
- Hello
- Mail
- Mail Delivery System
- message
- read it immediately
- readme
- Server Report
- Status
- thanks!
- Transaction Failed
Contenido, uno de los siguientes:
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- The original message was included as an attachment.
- I have received your document. The corrected document is attached.
Anexado, uno de estos nombres:
seguido de cualquiera de las siguientes extensiones:
Si el archivo tiene extensión .ZIP la copia del gusano tiene una de las siguientes segundas extensiones:
Al activarse el gusano se copia a las siguientes rutas con los nombres:
- C:\666.exe
- C:\eminem vs 2pac.scr
- C:\funny pic.scr
- C:\photo album.scr
- C:\Windows\System32\666.exe
libera además el troyano/backdoor Rootdrop copiándolos al directorio raíz con los nombres:
- C:\winsystem.exe
- C:\_Virus\msdirectx.sys
Para ejecutarse la próxima vez que se inicie el equipo agrega el siguiente valor:
"Windows USB Service = "%System%\666.exe"
a las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
[HKEY_CURRENT_USER\Software\Microsoft\Ole
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio ejecuta su rutina de propagación masiva de mensajes de correo y rastrea los sistemas con la vulnerabilidad LSASS, haciendo uso de los puertos TCP 445, 135 o aleatorio que
se encuentre disponible y abierto.
Actuando como Backdoor se conecta al servidor IRC 19.xxor.biz y se une al canal de Chat #m-rl4 desde el cual descarga una copia del gusano/backdoor Spybot y recibirá comandos e
instrucciones, pudiendo realizar entre otras, las siguientes acciones:
- Descargar y ejecutar archivos con códigos malignos.
- Obtener la versión del gusano.
- Actualizar la versión del gusano.
- Terminar el proceso del gusano.
- Borrar el gusano.
- Configurar un servidor FTP usando puertos aleatorios que se encuentren abiertos.
modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.kaspersky.com
- www.mcafee.com
- www.microsoft.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
La información y parche para la vulnerabilidad LSASS puede ser descargada desde:
PER ANTIVIRUS® versión 9.2 con registro de virus al 12 de Abril del 2005 detecta y elimina eficientemente este gusano/backdoor.
