|
w32/mytob_jw@mm
w32.mytob.jw@mm
tipo: gusano de email
tama?o: 52,224 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 03/10/2005.
w32/mytob.jw@mm, es un gusano de envi? masivo de e-mail, utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en el computador atacado y en archivos con la siguiente extensi?n .adb, .asp, .dbx, .htm, .php, .sht, .tbb y .wab.
el gusano evita enviarse a direcciones que contengan los siguientes textos:
abuse accoun admin administrator anyone bsd bugs certific contact fcnz feste gold-certs google help icrosoft info linux listserv mail nobody noone not nothing ntivi page postmaster privacy rating register root samples secur service site soft somebody someone spm submit support the.bat unix webmaster www utgers.ed you your .gov .mil acketst arin. avp berkeley borlan bsd example fido foo. fsf. gnu google gov. hotmail iana ibm.com icrosof ietf inpris isc.o isi.e kernel linux math mit.e mozilla msn. mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho syma tanford.e unix usenet caracter?sticas del mensaje de e-mail:
asunto: [variable, puede ser cualquiera de las siguientes frases:]
good day hello mail delivery system mail transaction failed server report status error cuerpo:
mail transaction failed. partial message is available. the message contains unicode characters and has been sent as a binary attachment. the message cannot be represented in 7-bit ascii encoding and has been sent as a binary attachment. the original message was included as an attachment. here are your banks documents. [caracteres aleatorios] archivo adjunto: [variable, seguido de la extensi?n .bat, .cmd, .exe, .pif, .scr, o .zip]
body data document doc file text test message readme ------------------
cuando el gusano se ejecuta se copia a si mismo como:
system \taskman.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
tambi?n copia el archivo hellmsn.exe en la unidad ra?z donde se encuentra instalado windows, por defecto suele ser la unidad c:, dicho archivo copia los siguientes archivos copias del gusano dentro de la unidad ra?z:
see_this!!.scr my_photo2005.scr funny_pic.scr luego crea un mutex de nombre h-e-l-l-b-o-t, el cual permite que solo una instancia de este se ejecute en memoria.
seguidamente adiciona algunas entradas en el registro para poder ejecutarse en cada inicio del sistema.
hkey_local_machine\software\microsoft\windows\currentversion\run
wintaskman= system \taskman.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
wintaskman= system \taskman.exe
hkey_local_machine\software\microsoft\ole
wintaskman= system \taskman.exe
hkey_local_machine\system\currentcontrolset\control\lsa
wintaskman= system \taskman.exe
hkey_current_user\software\microsoft\windows\currentversion\run
wintaskman= system \taskman.exe
hkey_current_user\software\microsoft\ole
wintaskman= system \taskman.exe
hkey_current_user\system\currentcontrolset\control\lsa
wintaskman= system \taskman.exe
seguidamente abre el puerto tcp 10027 y descarga una copia del gusano con nombre bingo.exe
luego bloquea el acceso a sitios relacionado con seguridad, modificando el archivo hosts:
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com finalmente intentar? conectarse a un sitio web predeterminado a trav?s del puerto tcp 8000, si logra establecer comunicaci?n queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar lo siguiente:
descargar, ejecutar y eliminar archivos. reiniciar el computador atacado. enviar informaci?n del computador atacado. realizar otros comandos irc.
1992/2005
|
Categorias