Mytob.B

MYTOB.B destructivo gusano/backdoor de Correo e IRC aprovecha conocida vulnerabilidad del sistema.

W32/Mytob.B@mm, I.worm.Mytob.B@mm

Mytob.B es un destructivo gusano/backdoor reportado el 28 de Febrero del 2005, de propagación a través de mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Aprovecha la vulnerabilidad de desbordamiento del buffer descritas en el Boletín de Microsoft MS04-011 y abre un Backdoor a través del IRC (Internet Relay Chat), y desde el cual recibirá instrucciones y comandos, en forma remota.

Los intrusos poseedores del programa Cliente del Backdoor podrán tomar el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 48 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB) o de archivos con las siguientes extensiones:

Evitando infectar direcciones de correo que tengan las siguientes cadenas:

-._!
-._!@
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
ca
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

El gusano agrega los siguientes nombres a los dominios extraídos de los sistemas infectados para generar nuevas direcciones de correo:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

luego inserta prefijos a los nombres de dominio, para encontrar los correspondientes servidores SMTP:

gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.

De ese modo incrementará su propagación masiva a través de mensajes de correo, los cuales tienen las siguientes características:

Remitente, uno de los buzones de la Libreta de Direcciones de Windows o emplea la técnica Email spoofing con nombres falsos:

Postmaster
Mail Administrator
Automatic Email Delivery Software
Post Office
The Post Office
Bounced mail
Returned mail
MAILER-DAEMON
Mail Delivery Subsystem

con los dominios de los sistemas infectados.

Asunto, aleatoriamente uno de los siguientes:

hello
hi
error
status
test
Mail Transaction Failed
Mail Delivery System
Server Report
[Sin_Asunto]
[letras_aleatorias]

Contenido, uno de los siguientes:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
test
The message contains Unicode characters and has been sent as a binary attachment.
[vacío]

Anexado, uno de estos nombres:

body
data
doc
document
file
message
readme
test
text

seguida de cualquiera de las siguientes extensiones:

pudiendo tener una segunda extensión elegida de:

doc
txt
htm
html

En caso que el archivo anexado sea uno de formato .ZIP éste contendrá una segunda extensión elegida entre las siguientes:

doc
txt
htm
html

Al activarse el gusano se copia a la carpeta %System% con el nombre de msnmsgr.exe y para ejecutarse la próxima vez que se inicie el sistema agrega el siguiente valor:

"MSN" = "msnmsgr.exe"

a las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio del sistema, el gusano ejecuta su rutina de propagación masiva de mensajes de correo y aprovechando las vulnerabilidades de desbordamiento del buffer descritas en el Boletín de Microsoft MS04-011,
se conecta al canal de IRC irc.blackcarder.net a través del puerto TCP 6667 desde donde podrá recibir comandos e instrucciones del intruso, el cual puede ejecutar entre otras, las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos.

Borrar archivos.

Actualizarse a sí mismo.

Obtener la información del sistema y sus accesos a Internet.

Los intrusos poseedores del Cliente del Backdoor tomarán el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.

La información y parche para esta vulnerabilidad se puede leer y descargar desde este enlace:

Microsoft Security Bulletin MS04-011

PER ANTIVIRUS® versión 9.1 con registro de virus al 28 de Febrero del 2005 detecta y elimina eficientemente este gusano/backdoor.