|
W32/Mytob.BA@mm, I.worm.Mytob.BA@mm
|
Mytob.BA es un destructivo gusano/backdoor residente en memoria, reportado el 12 de Abril del 2005, de propagación a través de mensajes de Correo con remitentes falsos,
asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.
Aprovecha las vulnerabilidades RPC/DCOM y LSASS descritas en los Boletines MS03-026 y MS04-011 abre un Backdoor y se une a un canal del IRC (Internet Relay Chat) desde el que recibe instrucciones y comandos. |
Copia además una variante de Mytob a la raíz de C:\ la cual libera varios archivos a esa ubicación.
Los intrusos podrán tomar el control de los sistemas infectados, en forma remota, pudiendo ejecutar acciones nocivas y hasta destructivas.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión variable y comprimido con el utilitario MEW (desarrollado en C++ y Assembler por un grupo de hackers denominado Northfox):
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows, la carpeta temporal de Internet o archivos con las siguientes extensiones:
también genera direcciones de correo usando uno de los siguientes nombres:
con cualquiera de los dominios capturados del sistema infectado o los siguientes:
evitando infectar direcciones de correo que tengan las siguientes cadenas:
o enviarse a los dominios con cualquiera de las cadenas:
Los mensajes tienen las siguientes características:
Remitente, uno de los buzones extraídos del sistema infectado o direcciones falsas bajo la técnica Spoofing:
Asunto, aleatoriamente uno de los siguientes:
Contenido, uno de los siguientes:
Anexado, uno de estos nombres:
seguido de cualquiera de las siguientes extensiones:
Si el archivo tiene extensión .ZIP la copia del gusano contiene los siguientes nombres:
Al siguiente re-inicio el gusano crea el mutex "H-E-L-L-B-O-T" para evitar infectar el sistema más de una vez y se copia a %System% como HOSTDRVXP.EXE y al directorio raíz de C:\ una variante de Mytob con el nombre de HELLMSN.EXE que actuando como "dropper" libera en esa misma ubicación los archivos:
Para ejecutarse la próxima vez que se inicie el equipo agrega el siguiente valor:
WINTASKMANAGER = "%System%\hostdrvXP.exe"
a las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa]
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
[HKEY_LOCAL_MACHINE\Software\Classes\.key]
"Default = "regfile"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio ejecuta su rutina de propagación masiva de mensajes de correo y rastrea los sistemas con las vulnerabilidades DCOM RPC y LSASS, y si ingresa a un sistema el gusano libera el archivo 2PAC.TXT, el cual contiene comandos FTP que abren determinados puertos y descargan una copia del gusano como BINGOO.EXE.
Actuando como Backdoor se conecta al servidor IRC irc.blackcarder.net y se une a cualquier canal abierto desde donde recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes acciones:
modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:
La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:
PER ANTIVIRUS® versión 9.2 con registro de virus al 12 de Abril del 2005 detecta y elimina eficientemente este gusano/backdoor.
