Viernes 15 de Noviembre de 2024, 08:24
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Mytob Bm-bo
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Mytob Bm-bo (Leído 1150 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Mytob Bm-bo
«
en:
Viernes 29 de Abril de 2005, 17:41 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:28-04-2005
Última Actualización:28-04-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Mytob.BM-BO@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32.Mytob.BN@mm (Symantec), W32.Mytob.BO@mm (Symantec), WORM_MYTOB.CU (Trend Micro)
Detalles
Instalación
Cuando se ejecuta descarga el fichero HELLMSN.EXE en la carpeta raíz que luego ejecutará para crear alguna de las siguientes copias del gusano, también en la carpeta raíz, según la versión del gusano en ejecución:
* %System%\taskgmr32.exe
* %System%\winnet32.exe
* C:\funny_pic.scr
* C:\see_this!!.scr
* C:\my_photo2005.scr
Para asegurarse su ejecución automática en cada nuevo reinicio del equipo infectado, añade el siguiente valor a las claves de registro indicadas:
"WINTASK32" = "taskgmr32.exe" Versión BM
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_CURRENT_USER\Software\Microsoft\Ole
Propagación por Correo
El gusano se propaga por correo electrónico enviándose como adjunto en mensajes que tienen las siguientes características:
# Remitente: Falsificado
# Asunto: Podrá ser alguno de los siguientes
* hello
* error
* status
* Mail Transaction Failed
* Mail Delivery System
* SERVER REPORT
* Good Day
* Cadenas de texto Aleatorio
# Mensaje:Podrá ser alguno de los siguientes
* vacío
* Here are your banks documents.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters [...]
* Mail transaction failed. Partial message is available.
* The attachment name may also contain one of the following lines:
* The original message was included as an attachment.
* Here are your banks documents.
* I have received your document. The corrected document is attached.
# Adjuntos: Podrá estar compuesto por un nombre de fichero y una o dos extensiones:
* body
* data
* doc
* document
* file
* message
* readme
* test
* text
* Texto aleatorio
Podra tener una o dos, de las siguientes extensiones:
* .doc
* .htm
* .txt
* .bat
* .exe
* .pif
* .scr
* .zip
* .tmp
Cuando contiene 2 extensiones , estarán separadas por numerosos espacios.
En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con algunas de las otras extensiones.
El gusano busca y captura todas las direcciones de correo que encuentre en diferentes archivos de la máquina infectada. Para ello, examina archivos con las siguientes extensiones:
* .wab
* .adb
* .tbb
* .dbx
* .asp
* .php
* .sht
* .htm
* .pl
También puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:
* adam
* alex
* alice
* andrew
* anna
* bill
* bob
* brenda
* brent
* brian
* claudia
* dan
* dave
* david
* debby
* fred
* george
* helen
* jack
* james
* jane
* jerry
* jim
* jimmy
* joe
* john
* jose
* julie
* kevin
* leo
* linda
* maria
* mary
* matt
* michael
* mike
* peter
* ray
* robert
* sam
* sandra
* serg
* smith
* stan
* steve
* ted
* tom
Utiliza alguno de los siguientes nombres de dominio:
* aol.com
* cia.gov
* fbi.gov
* hotmail.com
* juno.com
* msn.com
* yahoo.com
Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:
* gate.
* ns.
* relay.
* mail1.
* mxs.
* mx1.
* smtp.
* mail.
* mx.
El gusano evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:
* accoun
* admin
* anyone
* bat
* bugs
* ca
* certific
* contact
* feste
* gold-certs
* help
* icrosoft
* info
* listserv
* me
* no
* nobody
* noone
* not
* nothing
* ntivi
* page
* postmaster
* privacy
* rating
* root
* samples
* service
* site
* soft
* somebody
* someone
* submit
* support
* the
* webmaster
* you
* your
También intentará evitar el envío sobre direcciones de los siguientes dominios:
* .edu
* .gov
* .mil
* acketst
* arin.
* borlan
* bsd
* example
* fido
* foo.
* fsf.
* gnu
* google
* gov.
* iana
* ibm.com
* icrosof
* ietf
* inpris
* isc.o
* isi.e
* kernel
* linux
* math
* mit.e
* mozilla
* mydomai
* nodomai
* panda
* pgp
* rfc-ed
* ripe.
* ruslis
* secur
* sendmail
* sopho
* syma
* tanford.e
* unix
* usenet
* utgers.ed
Además inserta las siguientes líneas en el fichero Hosts para impedir el acceso a los sitios indicados:
* 127.0.0.1
www.symantec.com
* 127.0.0.1 securityresponse.symantec.com
* 127.0.0.1 symantec.com
* 127.0.0.1
www.sophos.com
* 127.0.0.1 sophos.com
* 127.0.0.1
www.mcafee.com
* 127.0.0.1 mcafee.com
* 127.0.0.1 liveupdate.symantecliveupdate.com
* 127.0.0.1
www.viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 f-secure.com
* 127.0.0.1
www.f-secure.com
* 127.0.0.1 kaspersky.com
* 127.0.0.1
www.avp.com
* 127.0.0.1
www.kaspersky.com
* 127.0.0.1 avp.com
* 127.0.0.1
www.networkassociates.com
* 127.0.0.1 networkassociates.com
* 127.0.0.1
www.ca.com
* 127.0.0.1 ca.com
* 127.0.0.1 mast.mcafee.com
* 127.0.0.1 my-etrust.com
* 127.0.0.1
www.my-etrust.com
* 127.0.0.1 download.mcafee.com
* 127.0.0.1 dispatch.mcafee.com
* 127.0.0.1 secure.nai.com
* 127.0.0.1 nai.com
* 127.0.0.1
www.nai.com
* 127.0.0.1 update.symantec.com
* 127.0.0.1 updates.symantec.com
* 127.0.0.1 us.mcafee.com
* 127.0.0.1 liveupdate.symantec.com
* 127.0.0.1 customer.symantec.com
* 127.0.0.1 rads.mcafee.com
* 127.0.0.1 trendmicro.com
* 127.0.0.1
www.microsoft.com
* 127.0.0.1
www.trendmicro.com
Otros detalles
El gusano también puede propagarse explotando las vulnerabilidades en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 y la vulnerabilidad del proceso RPC/DCOM reparada por Microsoft en su parche MS03-026 Para ello busca equipos vulnerables en el puerto TCP 445. Son vulnerables todas las computadoras bajo Windows XP o 2000, sin el parche MS04-011 instalado y sin cortafuegos.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.
Los usuarios de Windows XP SP2 no están afectados por esta vulnerabilidad.
También inicia un servidor FTP sobre un puerto seleccionado al azar.
El componente BOT se conecta vía IRC con canales predeterminados en servidores también predeterminados por el puerto TCP 6667. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:
* Descargar archivos
* Ejecutar archivos
* Borrar archivos
* Actualizarse a si mismo
Un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos.
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Mytob Bm-bo