|
MYTOB.MX gusano/backdoor de Correo IRC y FTP deshabilita acceso compartido a Internet, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Mytob.MX@mm, I.worm.Mytob.MX@mm
Mytob.MX es un destructivo gusano/backdoor residente en memoria reportado el 24 de Noviembre del 2005, que se propaga a través de mensajes de Correo con remitentes
falsos, asuntos, contenidos y archivos anexados de nombres aleatorios, con doble extensión.
Libera un troyano.
Deshabilita el acceso compartido a Internet y se conecta a un servidor IRC (Internet Relay Chat) uniéndose a un canal desde el cual ejecutará comandos en forma remota.
Configura un servidor FTP desde el cual subirá o descargará archivos. El intruso tomará el absoluto control de los sistemas en forma remota.
Infecta sistemas operativos Windows NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una
extensión de 52.5 KB y comprimido con con el utilitario PESpin:
El gusano extrae los buzones de la Libreta de Direcciones de Windows (WAB) y de archivos con las siguientes extensiones:
- adb
- asp
- dbx
- htm
- php
- pl
- sht
- tbb
- wab
o usando uno de los siguientes falsos nombres:
- accounts
- administrator
- andrew
- brenda
- brent
- brian
- britney
- claudia
- david
- debby
- george
- helen
- james
- jerry
- jimmy
- julie
- kevin
- linda
- lolita
- madmax
- mail
- maria
- michael
- peter
- register
- robert
- sandra
- smith
- steve
con cualquiera de los dominios extraídos del sistema del remitente.
Evitando enviarse a las direcciones que tengan las siguientes cadenas:
- abuse
- accoun
- admin
- anyone
- certific
- contact
- feste
- gold-certs
- google
- icrosoft
- linux
- listserv
- nobody
- noone
- nothing
- ntivi
- postmaster
- privacy
- rating
- samples
- secur
- service
- somebody
- someone
- submit
- support
- the.bat
- webmaster
o los dominios con las cadenas:
- acketst
- arin.
- berkeley
- borlan
- example
- google
- hotmail
- ibm.com
- icrosof
- inpris
- isc.o
- isi.e
- kernel
- linux
- mit.e
- mozilla
- mydomai
- nodomai
- panda
- rfc-ed
- ripe.
- ruslis
- secur
- sendmail
- sopho
- tanford.e
- usenet
- utgers.ed
invoca también a los Servidores Exchange integrando los nombres de dominio a las siguientes cadenas usándolas como servidores SMTP:
- gate
- mail
- mail1
- mx
- mx1
- mxs
- ns
- relay
- smtp
Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:
Asunto, aleatoriamente uno de los siguientes:
- DETECTED Online User Violation
- Important Notification
- MEMBERS SUPPORT
- Notice Account limitation
- Security Measures
- WARNING MESSAGE YOUR SERVICES NEAR TO BE CLOSED
- You have successfully updated your password
- Your Account is Suspended
- Your Account is Suspended For Security Reasons
- Your password has been successfully updated
- Your Password has been updated
Contenido, uno de los siguientes:
- Dear [dominio_de_usuario] Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your membership.
Virtually yours,
The [dominio_de_usuario], Support Team
- Dear user [dominio_de_usuario],
It has come to our attention that your [nombre_de_dominio_de_usuario], ( x ) records are out of date. For further details see the attached document.
Thank you for using [dominio_de_usuario]!
The {User Profile} Support Team
+++ Attachment: No Virus (Clean)
+++ "Name" Antivirus - www.[dominio_de_usuario].com
- Dear user [dominio_de_usuario],
You have successfully updated the password of your [dominio_de_usuario] account.
If you did not authorize this change or if you need assistance with your account, please contact
customer service at: register@[dominio_de_usuario].com
Thank you for using [dominio_de_usuario]!
The {User Profile} Support Team
+++ Attachment: No Virus (Clean)
+++ "Name" Antivirus - www.[dominio_de_usuario].com
- Dear [dominio_de_usuario] Member,
We have temporarily suspended your email account [dominio_de_usuario].
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
See the details to reactivate your [dominio_de_usuario] account.
Sincerely,The
Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio_de_usuario]Antivirus www.[dominio_de_usuario]
Anexado, uno de estos nombres:
- accepted-password
- account-details
- account-info
- account-password
- account-report
- approved-password
- documeng
- email-details
- email-password
- important-details
- new-password
- password
- readme
- updated-password
con una de las primeras extensiones:
seguidas de una de las segundas extensiones:
Al activarse el gusano se copia a la carpeta %System% como Syst.exe, el mismo que es un troyano y que libera el archivo dbg32.exe.
para ejecutarse la próxima vez que se re-inicie el sistema agrega las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Debugger" = "\dbg32.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Debugger" = "\dbg32.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para deshabilitar el Acceso Compartido a Internet modifica la llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start = "dword:00000004"
cuyo valor por defecto es "dword:00000003"
Al siguiente inicio del equipo ejecuta su rutina de envío de mensajes y busca las carpetas con recursos compartidos para propagarse entre los archivos con atributos ocultos.
Genera direcciones IP aleatorias e intenta copiarse a las mismas usando el nombre de usuario y contraseña del sistema infectado. De conseguir ingresar libera una copia de sí mismo a las carpetas con recursos compartidos.
Actuando como Backdoor se conecta a un determinado servidor IRC (Internet Relay Chat) y se une a un canal de Chat cifrado desde el cual podrá ejecutar las siguientes acciones:
- Descargar y ejecutar archivos con códigos malignos.
- Ejecutar comandos IRC.
- Reiniciar el sistema.
- Configurar un servidor FTP para subir o decargar archivos.
- Tomar control en forma remota del sistema infectado.
PER ANTIVIRUS® versión 9.5 con registro de virus al 24 de Noviembre del 2005 detecta y elimina este gusano/backdoor.
