Mytob.CP

MYTOB.CP gusano/backdoor de Correo e IRC explota vulnerabilidad bloquea acceso a webs de antivirus, etc.

W32/Mytob.CP@mm, W32/Mytob.AN@mm, I.worm.Mytob.CP@mm

Mytob.CP es un destructivo gusano/backdoor reportado el 22 de Mayo del 2005, que se propaga a través de mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Aprovecha la vulnerabilidad LSASS descrita en el Boletín MS04-011. Abre un Backdoor usando el puerto TCP 10082 y se une a un canal del IRC (Internet Relay Chat) desde el que recibe instrucciones y comandos en forma remota.

En caso de borrar en forma manual las llaves de registro creadas por el gusano, se regenerarán automáticamente. Modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software antivirus, firewalls y de control.

Es un PE (Portable Ejecutable) e infecta Windows 2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 62 KB y comprimido con los utilitarios FGS y Morphina:

El gusano revisa las unidades de disco de la C: a a la Z: capturando las direcciones de las siguientes rutas:

%Windir%\Temporary Internet Files
%UserProfile%\Local Settings\Temporary Internet Files
%System%

así como las contenidas en los archivos con las siguientes extensiones:

también captura buzones de la Libreta de Direcciones de Windows o usando uno de los siguientes nombres:

adam
Admin
Administrator
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
Hostmaster
Info
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
Mail
maria
mary
matt
michael
mike
peter
ray
Register
robert
sam
serg
Service
smith
Staff
stan
steve
Support
ted
tom
Webmaster

con cualquiera de los dominios:

aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com

evitando infectar direcciones de correo que tengan las siguientes cadenas:

abuse
accoun
acketst
admin
anyone
arin
avp
bugs
ca
certific
contact
example
feste
fido
foo
fsf
gnu
gold-certs
google
help
info
linux
listserv
me
no
nobody
noone
not
nothing
ntivi
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
submit
support
the.bat
unix
webmaster
you
your

o enviarse a los dominios con cualquiera de las cadenas:

.edu
.edu
.gov
.mil
arin.
berkeley
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
icrosoft
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed
www

Invoca los Servidores Exchange e integra los nombres de dominio a las siguientes cadenas para usarlas como servidores SMTP:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente, uno de los buzones extraídos del sistema o direcciones falsas con la técnica Spoofing usando uno de los siguientes nombres:

adam
alex
andrew
anna
bill
bob
brenda
brent
brian
britney
bush
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
lolita
madmax
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

con uno de los dominios:

aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com

Asunto, aleatoriamente uno de los siguientes:

Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
[aleatorio]

Contenido, uno de los siguientes:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachments.
Here are your banks documents.

Anexado, uno de estos nombres:

body
data
doc
document
file
message
readme
test
text

seguido de cualquiera de las siguientes extensiones:

Si el archivo tiene extensión .ZIP la copia del gusano tiene una de las siguientes segundas extensiones:

.doc
.txt
.htm
.html

Al activarse el gusano crea el Mutex W-I-N-M-S-O-T para evitar infectar un sistema más de una vez y se copia a las siguientes rutas y con los nombres de archivo:

%System%\wpad.exe
C:\funny pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr

luego libera al directorio raíz de C:\ el archivo hellmsn.exe, que es una variante de Mytob.

Para ejecutarse la próxima vez que se inicie el equipo agrega el siguiente valor:

"MS PLUS INC" = "wpad.exe"

a las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
[HKEY_CURRENT_USER\Software\Microsoft\Ole]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

En caso estas llaves de registro sean borradas manualmente, el gusano las regenerará automáticamente.

Al siguiente re-inicio inicia su rutina de auto-envío de mensajes de correo.

Actuando como Backdoor se conecta al servidor IRC mesa.peruvianpower.com y se une un canal de Chat desde el cual recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos.
Obtener información del sistema y la velocidad de conexión a Internet.
Conectarse y desconectarse del canal de Chat.
Enviar mensajes a través del canal de Chat.
Tomar control en forma remota del sistema infectado.

modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

PER ANTIVIRUS® versiones 9.2 y 9.3 con registro de virus al 22 de Mayo del 2005 detectan y eliminan este gusano/backdoor.