|
MYTOB.DW gusano/backdoor de Correo e IRC deshabilita antivirus firewalls toma control de sistemas, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Mytob.DW@mm, W32/Mytob.BV, I.worm.Mytob.DW@mm
|
|
Mytob.DW es un destructivo gusano/backdoor reportado el 07 de Junio del 2005, que se propaga en mensajes de Correo con asuntos y archivos
anexados aleatorios, con diversas extensiones y un contenido conminatorio.
Abre un Backdoor y se une a un canal de dos servidores IRC (Internet Relay Chat) desde el que recibirá instrucciones y comandos en forma remota y pudiendo tomar el control de los sistemas infectados.
|
Termina procesos en ejecución de antivirus, firewall y programas de control, modifica el archivo HOSTS con el propósito de impedir el acceso a sitios web relacionados a software de seguridad.
Es un PE (Portable Ejecutable) e infecta Windows 2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en MS Visual C++, con una extensión de 41 KB y comprimido con los utilitarios FGS y Morphina:
Usando su propio SMTP (Simple Mail Transfer Protocol) extrae las direcciones de correo de la carpeta temporal de Internet o de los archivos con las siguientes extensiones:
- txt
- htm
- sht
- jsp
- cgi
- xml
- php
- asp
- dbx
- tbb
- adb
- pl
- wab
también captura buzones de la Libreta de Direcciones de Windows o usando uno de los siguientes nombres:
- alice
- andrew
- brenda
- brent
- brian
- claudia
- david
- debby
- george
- helen
- james
- jerry
- jimmy
- julie
- kevin
- linda
- maria
- michael
- peter
- robert
- smith
- steve
con cualquiera de los dominios del sistema infectado.
evitando infectar direcciones de correo que tengan las siguientes cadenas:
- abuse
- accoun
- admin
- certific
- google
- icrosoft
- linux
- listserv
- ntivi
- secur
- support
o enviarse a los dominios con cualquiera de las cadenas:
- abuse
- accoun
- acketst
- admin
- admin
- administrator
- anyone
- arin.
- berkeley
- borlan
- certific
- contact
- example
- feste
- gold-certs
- google
- google
- hotmail
- ibm.com
- icrosoft
- inpris
- isc.o
- isi.e
- kernel
- linux
- linux
- listserv
- mit.e
- mozilla
- mydomai
- nobody
- nodomai
- noone
- nothing
- ntivi
- panda
- postmaster
- privacy
- rating
- rfc-ed
- ripe.
- ruslis
- secur
- secur
- sendmail
- service
- service
- somebody
- someone
- sopho
- submit
- support
- support
- tanford.e
- the.bat
- usenet
- utgers.ed
- webmaster
Invoca los Servidores Exchange e integra los nombres de dominio a las siguientes cadenas, para usarlas como servidores SMTP:
- gate
- mail
- mail1
- mx
- mx1
- mxs
- ns
- relay
- smtp
También extrae dominios de los buzones de correo usando la siguiente llave:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]
Los mensajes tienen las siguientes características:
Remitente, uno de los buzones extraídos del sistema infectado o direcciones falsas bajo la técnica Spoofing:
Asunto, uno de los siguientes:
- [caracteres_basura]
- Account Alert
- Important Notification
- IMPORTANT Please Confirm Your Account
Contenido:
Dear Valued Member,
According to our site policy you will have to confirm your account by the following link or else your account will be suspended within 24 hours for security reasons.
http://[dirección_IP]/confirm.php?email=[direción_falsa]
Thank you for your attention to this question. We apologize for any inconvenience.
Sincerely,Ti Security Department Assistant.
Anexado, uno de estos nombres:
- [aleatorio]
- account-details
- document
- email-doc
- email-info
- INFO
- info-text
- information
- instructions
seguido de cualquiera de las siguientes extensiones:
Al activarse el gusano se copia a la carpeta %System% como Test.exe y para ejecutarse la próxima vez que se inicie el equipo agrega las siguientes llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows System" = "%System%\Test.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows System" = "%System%\Test.exe"
libera además los siguientes archivos en las rutas:
- C:\sorDDy.exe
- %System%\beta.exe
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio termina los procesos de antivirus, firewalls o programas de control:
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ADAWARE.EXE
- ADVXDWIN.EXE
- AGENTSVR.EXE
- AGENTW.EXE
- ALERTSVC.EXE
- ALEVIR.EXE
- ALOGSERV.EXE
- AMON9X.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ARR.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- AU.EXE
- AUPDATE.EXE
- AUPDATE.EXE
- AUTO-PROTECT.NAV80TRY.EXE
- AUTODOWN.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCC32.EXE
- AVGCTRL.EXE
- AVGNT.EXE
- AVGSERV.EXE
- AVGSERV9.EXE
- AVGUARD.EXE
- AVGW.EXE
- AVKPOP.EXE
- AVKSERV.EXE
- AVKSERVICE.EXE
- AVKWCTl9.EXE
- AVLTMAIN.EXE
- AVNT.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVSYNMGR.EXE
- AVWINNT.EXE
- AVWUPD.EXE
- AVWUPD32.EXE
- AVWUPD32.EXE
- AVWUPSRV.EXE
- AVXMONITOR9X.EXE
- AVXMONITORNT.EXE
- AVXQUAR.EXE
- AVXQUAR.EXE
- BACKWEB.EXE
- BARGAINS.EXE
- BD_PROFESSIONAL.EXE
- BEAGLE.EXE
- BELT.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BLSS.EXE
- BOOTCONF.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BPC.EXE
- BRASIL.EXE
- BS120.EXE
- BUNDLE.EXE
- BVT.EXE
- CCAPP.EXE
- CCEVTMGR.EXE
- CCPXYSVC.EXE
- CDP.EXE
- CFD.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLAW95CF.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CLICK.EXE
- CMD.EXE
- CMD32.EXE
- CMESYS.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CONNECTIONMONITOR.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CTRL.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- DATEMANAGER.EXE
- DCOMX.EXE
- DEFALERT.EXE
- DEFSCANGUI.EXE
- DEFWATCH.EXE
- DEPUTY.EXE
- DIVX.EXE
- DLLCACHE.EXE
- DLLREG.EXE
- DOORS.EXE
- DPF.EXE
- DPFSETUP.EXE
- DPPS2.EXE
- DRWATSON.EXE
- DRWEB32.EXE
- DRWEBUPW.EXE
- DSSAGENT.EXE
- DVP95.EXE
- DVP95_0.EXE
- ECENGINE.EXE
- EFPEADM.EXE
- EMSW.EXE
- ENT.EXE
- ESAFE.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- ESPWATCH.EXE
- ETHEREAL.EXE
- ETRUSTCIPE.EXE
- EVPN.EXE
- EXANTIVIRUS-CNET.EXE
- EXE.AVXW.EXE
- EXPERT.EXE
- EXPLORE.EXE
- F-PROT.EXE
- F-PROT95.EXE
- F-STOPW.EXE
- FAMEH32.EXE
- FAST.EXE
- FCH32.EXE
- FIH32.EXE
- FINDVIRU.EXE
- FIREWALL.EXE
- FNRB32.EXE
- FP-WIN.EXE
- FP-WIN_TRIAL.EXE
- FPROT.EXE
- FRW.EXE
- FSAA.EXE
- FSAV.EXE
- FSAV32.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- FSGK32.EXE
- FSM32.EXE
- FSMA32.EXE
- FSMB32.EXE
- GATOR.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GENERICS.EXE
- GMT.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HBINST.EXE
- HBSRV.EXE
- HOTACTIO.EXE
- HOTPATCH.EXE
- HTLOG.EXE
- HTPATCH.EXE
- HWPE.EXE
- HXDL.EXE
- HXIUL.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IAMSTATS.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IDLE.EXE
- IEDLL.EXE
- IEDRIVER.EXE
- IEXPLORER.EXE
- IFACE.EXE
- IFW2000.EXE
- INETLNFO.EXE
- INFUS.EXE
- INFWIN.EXE
- INIT.EXE
- INTDEL.EXE
- INTREN.EXE
- IOMON98.EXE
- ISTSVC.EXE
- JAMMER.EXE
- JDBGMRG.EXE
- JEDI.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KAVPF.EXE
- KAZZA.EXE
- KEENVALUE.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KERNEL32.EXE
- KILLPROCESSSETUP161.EXE
- LAUNCHER.EXE
- LDNETMON.EXE
- LDPRO.EXE
- LDPROMENU.EXE
- LDSCAN.EXE
- LNETINFO.EXE
- LOADER.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LORDPE.EXE
- LSETUP.EXE
- LUALL.EXE
- LUALL.EXE
- LUAU.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- LUSPT.EXE
- MAPISVC32.EXE
- MCAGENT.EXE
- MCMNHDLR.EXE
- MCSHIELD.EXE
- MCTOOL.EXE
- MCUPDATE.EXE
- MCUPDATE.EXE
- MCVSRTE.EXE
- MCVSSHLD.EXE
- MD.EXE
- MFIN32.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGAVRTCL.EXE
- MGAVRTE.EXE
- MGHTML.EXE
- MGUI.EXE
- MINILOG.EXE
- MMOD.EXE
- MONITOR.EXE
- MOOLIVE.EXE
- MOSTAT.EXE
- MPFAGENT.EXE
- MPFSERVICE.EXE
- MPFTRAY.EXE
- MRFLUX.EXE
- MSAPP.EXE
- MSBB.EXE
- MSBLAST.EXE
- MSCACHE.EXE
- MSCCN32.EXE
- MSCMAN.EXE
- MSCONFIG.EXE
- MSDM.EXE
- MSDOS.EXE
- MSIEXEC16.EXE
- MSINFO32.EXE
- MSLAUGH.EXE
- MSMGT.EXE
- MSMSGRI32.EXE
- MSSMMC32.EXE
- MSSYS.EXE
- MSVXD.EXE
- MU0311AD.EXE
- MWATCH.EXE
- N32SCANW.EXE
- NAV.EXE
- NAVAP.NAVAPSVC.EXE
- NAVAPSVC.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEC.EXE
- NEOMONITOR.EXE
- NEOWATCHLOG.EXE
- NETARMOR.EXE
- NETD32.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NETUTILS.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NOD32.EXE
- NORMIST.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NOTSTART.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NPSCHECK.EXE
- NPSSVC.EXE
- NSCHED32.EXE
- NSSYS32.EXE
- NSTASK32.EXE
- NSUPDATE.EXE
- NT.EXE
- NTRTSCAN.EXE
- NTVDM.EXE
- NTXconfig.EXE
- NUI.EXE
- NUPGRADE.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NVC95.EXE
- NVSVC32.EXE
- NWINST4.EXE
- NWSERVICE.EXE
- NWTOOL16.EXE
- OLLYDBG.EXE
- ONSRVR.EXE
- OPTIMIZE.EXE
- OSTRONET.EXE
- OTFIX.EXE
- OUTPOST.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PATCH.EXE
- PAVCL.EXE
- PAVPROXY.EXE
- PAVSCHED.EXE
- PAVW.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PCSCAN.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PERSWF.EXE
- PF2.EXE
- PFWADMIN.EXE
- PGMONITR.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POP3TRAP.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PORTMONITOR.EXE
- POWERSCAN.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PRIZESURFER.EXE
- PRMT.EXE
- PRMVR.EXE
- PROCDUMP.EXE
- PROCESSMONITOR.EXE
- PROCEXPLORERV1.0.EXE
- PROGRAMAUDITOR.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAPAPP.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RAV8WIN32ENG.EXE
- RAY.EXE
- RB32.EXE
- RCSYNC.EXE
- REALMON.EXE
- REGED.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCAN.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- RUN32DLL.EXE
- RUNDLL.EXE
- RUNDLL16.EXE
- RUXDLL32.EXE
- SAFEWEB.EXE
- SAHAGENT.EXE
- SAVE.EXE
- SAVENOW.EXE
- SBSERV.EXE
- SC.EXE
- SCAM32.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SHOWBEHIND.EXE
- SMC.EXE
- SMS.EXE
- SMSS32.EXE
- SOAP.EXE
- SOFI.EXE
- SPERM.EXE
- SPF.EXE
- SPHINX.EXE
- SPOLER.EXE
- SPOOLCV.EXE
- SPOOLSV32.EXE
- SPYXX.EXE
- SREXE.EXE
- SRNG.EXE
- SS3EDIT.EXE
- SSG_4104.EXE
- SSGRATE.EXE
- ST2.EXE
- START.EXE
- STCLOADER.EXE
- SUPFTRL.EXE
- SUPPORT.EXE
- SUPPORTER5.EXE
- SVC.EXE
- SVCHOSTC.EXE
- SVCHOSTS.EXE
- SVSHOST.EXE
- SWEEP95.EXE
- SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
- SYMPROXYSVC.EXE
- SYMTRAY.EXE
- SYSEDIT.EXE
- SYSTEM.EXE
- SYSTEM32.EXE
- SYSUPD.EXE
- TASKMG.EXE
- TASKMGR.EXE
- TASKMO.EXE
- TASKMON.EXE
- TAUMON.EXE
- TBSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS-3.EXE
- TDS2-NT.EXE
- TEEKIDS.EXE
- TFAK.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRICKLER.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- TSADBOT.EXE
- TVMD.EXE
- TVTMD.EXE
- UNDOBOOT.EXE
- UPDAT.EXE
- UPDATE.EXE
- UPDATE.EXE
- UPGRAD.EXE
- UTPOST.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VET32.EXE
- VET95.EXE
- VETTRAY.EXE
- VFSETUP.EXE
- VIR-HELP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC32.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCAN40.EXE
- VSCENU6.02D30.EXE
- VSCHED.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBDAV.EXE
- WEBSCANX.EXE
- WEBTRAP.EXE
- WFINDV32.EXE
- WHOSWATCHINGME.EXE
- WIMMUN32.EXE
- WIN-BUGSFIX.EXE
- WIN32.EXE
- WIN32US.EXE
- WINACTIVE.EXE
- WINDOW.EXE
- WINDOWS.EXE
- WININETD.EXE
- WININIT.EXE
- WININITX.EXE
- WINLOGIN.EXE
- WINMAIN.EXE
- WINNET.EXE
- WINPPR32.EXE
- WINRECON.EXE
- WINSERVN.EXE
- WINSSK32.EXE
- WINSTART.EXE
- WINSTART001.EXE
- WINTSK32.EXE
- WINUPDATE.EXE
- WKUFIND.EXE
- WNAD.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WUPDATER.EXE
- WUPDT.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
Actuando como Backdoor se conecta al servidor IRC irc.blackcarder.net e irc.foonet.com y se une al canal de Chat #html desde el cual recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes
acciones:
- Descargar y ejecutar archivos con códigos malignos.
- Obtener información del sistema.
- Conectarse y desconectarse del canal de Chat.
- Actualizar la versión del gusano.
- Auto-eliminar el gusano.
- Tomar control en forma remota del sistema infectado.
modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- ebay.com
- f-secure.com
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- microsoft.com
- moneybookers.com
- my-etrust.com
- nai.com
- networkassociates.com
- paypal.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- viruslist.com
- virustotal.com
- www.amazon.ca
- www.amazon.co.uk
- www.amazon.com
- www.avp.com
- www.ca.com
- www.ebay.com
- www.f-secure.com
- www.grisoft.com
- www.kaspersky.com
- www.mcafee.com
- www.microsoft.com
- www.moneybookers.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.paypal.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
- www.virustotal.com
PER ANTIVIRUS® versión 9.3 con registro de virus al 07 de Junio del 2005 detecta y elimina eficientemente este gusano/backdoor.
