Autor Tema: Mytob Bm-bo (Leído 1148 veces)

RadicalEd · « **en:** Viernes 29 de Abril de 2005, 17:41 »

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:28-04-2005
Última Actualización:28-04-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Mytob.BM-BO@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32.Mytob.BN@mm (Symantec), W32.Mytob.BO@mm (Symantec), WORM_MYTOB.CU (Trend Micro)
Detalles

Instalación

Cuando se ejecuta descarga el fichero HELLMSN.EXE en la carpeta raíz que luego ejecutará para crear alguna de las siguientes copias del gusano, también en la carpeta raíz, según la versión del gusano en ejecución:

* %System%\taskgmr32.exe
* %System%\winnet32.exe
* C:\funny_pic.scr
* C:\see_this!!.scr
* C:\my_photo2005.scr

Para asegurarse su ejecución automática en cada nuevo reinicio del equipo infectado, añade el siguiente valor a las claves de registro indicadas:

"WINTASK32" = "taskgmr32.exe" Versión BM

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_CURRENT_USER\Software\Microsoft\Ole

Propagación por Correo

El gusano se propaga por correo electrónico enviándose como adjunto en mensajes que tienen las siguientes características:

# Remitente: Falsificado
# Asunto: Podrá ser alguno de los siguientes

* hello
* error
* status
* Mail Transaction Failed
* Mail Delivery System
* SERVER REPORT
* Good Day
* Cadenas de texto Aleatorio

# Mensaje:Podrá ser alguno de los siguientes

* vacío
* Here are your banks documents.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters [...]
* Mail transaction failed. Partial message is available.
* The attachment name may also contain one of the following lines:
* The original message was included as an attachment.
* Here are your banks documents.
* I have received your document. The corrected document is attached.

# Adjuntos: Podrá estar compuesto por un nombre de fichero y una o dos extensiones:

* body
* data
* doc
* document
* file
* message
* readme
* test
* text
* Texto aleatorio

Podra tener una o dos, de las siguientes extensiones:

* .doc
* .htm
* .txt
* .bat
* .exe
* .pif
* .scr
* .zip
* .tmp

Cuando contiene 2 extensiones , estarán separadas por numerosos espacios.

En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con algunas de las otras extensiones.

El gusano busca y captura todas las direcciones de correo que encuentre en diferentes archivos de la máquina infectada. Para ello, examina archivos con las siguientes extensiones:

* .wab
* .adb
* .tbb
* .dbx
* .asp
* .php
* .sht
* .htm
* .pl

También puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

* adam
* alex
* alice
* andrew
* anna
* bill
* bob
* brenda
* brent
* brian
* claudia
* dan
* dave
* david
* debby
* fred
* george
* helen
* jack
* james
* jane
* jerry
* jim
* jimmy
* joe
* john
* jose
* julie
* kevin
* leo
* linda
* maria
* mary
* matt
* michael
* mike
* peter
* ray
* robert
* sam
* sandra
* serg
* smith
* stan
* steve
* ted
* tom

Utiliza alguno de los siguientes nombres de dominio:

* aol.com
* cia.gov
* fbi.gov
* hotmail.com
* juno.com
* msn.com
* yahoo.com

Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:

* gate.
* ns.
* relay.
* mail1.
* mxs.
* mx1.
* smtp.
* mail.
* mx.

El gusano evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:

* accoun
* admin
* anyone
* bat
* bugs
* ca
* certific
* contact
* feste
* gold-certs
* help
* icrosoft
* info
* listserv
* me
* no
* nobody
* noone
* not
* nothing
* ntivi
* page
* postmaster
* privacy
* rating
* root
* samples
* service
* site
* soft
* somebody
* someone
* submit
* support
* the
* webmaster
* you
* your

También intentará evitar el envío sobre direcciones de los siguientes dominios:

* .edu
* .gov
* .mil
* acketst
* arin.
* borlan
* bsd
* example
* fido
* foo.
* fsf.
* gnu
* google
* gov.
* iana
* ibm.com
* icrosof
* ietf
* inpris
* isc.o
* isi.e
* kernel
* linux
* math
* mit.e
* mozilla
* mydomai
* nodomai
* panda
* pgp
* rfc-ed
* ripe.
* ruslis
* secur
* sendmail
* sopho
* syma
* tanford.e
* unix
* usenet
* utgers.ed

Además inserta las siguientes líneas en el fichero Hosts para impedir el acceso a los sitios indicados:

* 127.0.0.1 www.symantec.com
* 127.0.0.1 securityresponse.symantec.com
* 127.0.0.1 symantec.com
* 127.0.0.1 www.sophos.com
* 127.0.0.1 sophos.com
* 127.0.0.1 www.mcafee.com
* 127.0.0.1 mcafee.com
* 127.0.0.1 liveupdate.symantecliveupdate.com
* 127.0.0.1 www.viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 f-secure.com
* 127.0.0.1 www.f-secure.com
* 127.0.0.1 kaspersky.com
* 127.0.0.1 www.avp.com
* 127.0.0.1 www.kaspersky.com
* 127.0.0.1 avp.com
* 127.0.0.1 www.networkassociates.com
* 127.0.0.1 networkassociates.com
* 127.0.0.1 www.ca.com
* 127.0.0.1 ca.com
* 127.0.0.1 mast.mcafee.com
* 127.0.0.1 my-etrust.com
* 127.0.0.1 www.my-etrust.com
* 127.0.0.1 download.mcafee.com
* 127.0.0.1 dispatch.mcafee.com
* 127.0.0.1 secure.nai.com
* 127.0.0.1 nai.com
* 127.0.0.1 www.nai.com
* 127.0.0.1 update.symantec.com
* 127.0.0.1 updates.symantec.com
* 127.0.0.1 us.mcafee.com
* 127.0.0.1 liveupdate.symantec.com
* 127.0.0.1 customer.symantec.com
* 127.0.0.1 rads.mcafee.com
* 127.0.0.1 trendmicro.com
* 127.0.0.1 www.microsoft.com
* 127.0.0.1 www.trendmicro.com

Otros detalles

El gusano también puede propagarse explotando las vulnerabilidades en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 y la vulnerabilidad del proceso RPC/DCOM reparada por Microsoft en su parche MS03-026 Para ello busca equipos vulnerables en el puerto TCP 445. Son vulnerables todas las computadoras bajo Windows XP o 2000, sin el parche MS04-011 instalado y sin cortafuegos.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

Los usuarios de Windows XP SP2 no están afectados por esta vulnerabilidad.

También inicia un servidor FTP sobre un puerto seleccionado al azar.

El componente BOT se conecta vía IRC con canales predeterminados en servidores también predeterminados por el puerto TCP 6667. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:

* Descargar archivos
* Ejecutar archivos
* Borrar archivos
* Actualizarse a si mismo

Un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos.

SoloCodigo

Autor Tema: Mytob Bm-bo (Leído 1148 veces)

RadicalEd

Mytob Bm-bo