Mytob.RW. Usa e-mail y P2P. Controla el PC vía IRC

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Mytob.RW. Usa e-mail y P2P. Controla el PC vía IRC

Compartir


Nombre: Mytob.RW
Nombre NOD32: Win32/Mytob.RW
Tipo: Gusano de Internet
Alias: Mytob.RW, W32/[email protected], Win32/Mytob.RW
Fecha: 9/abr/06
Plataforma: Windows 32-bit
Tamaño: 130,264 bytes (variable)

Gusano que se propaga masivamente por correo electrónico.

También saca provecho de las siguientes vulnerabilidades:

MS04-007 ASN.1 de Windows: Ejecución de código (828028)

MS04-011 Actualización crítica de Windows (835732)

Puede propagarse además por redes P2P y a través de recursos compartidos.

Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.

Cuando se ejecuta, puede crear algunos de los siguientes archivos:
c:\hot.pif
c:\windows\system32\0.exe
c:\windows\system32\d.exe
c:\windows\system32\winstart.pif

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[valor] = [nombre del ejecutable]

Donde [valor] puede ser una de las siguientes cadenas:

Begin
begins
system

Y [nombre del ejecutable] uno de los siguientes:

c:\windows\system32\0.exe
c:\windows\system32\d.exe

NOTA: En el primero de estos nombres, "0" es el número cero.

El gusano se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.

Evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:

abuse
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster

Utiliza su propio motor SMTP para enviar los mensajes. Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

Los mensajes enviados tienen las siguientes características:

De: [dirección falsa]

Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
jerry
jimmy
julie
kevin
linda
maria
michael
peter
robert
sandra
smith
steve

También puede seleccionar uno de los siguientes dominios para crear la dirección del remitente:

aol.com
ayna.com
hotmail.com
maktoob.com
microsoft.com
msn.com
usa.com
usa.net
yahoo.com

Asunto: [uno de los siguientes]

- hehe, watch this
- lol, don't forget to watch this video
- LOL, this shit is funny
- look at this video
- your going to like this

Texto del mensaje: [uno de los siguientes]

Dear user [nombre usuario],
You have successfully updated the password of your
[dominio] account.
If you did not authorize this change or if you need
assistance with your account, please contact [dominio]
customer service at: [dominio]
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]


Dear user [nombre usuario],
It has come to our attention that your [dominio] User
Profile ( x ) records are out of date. For further
details see the attached document.
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]


Dear [dominio] Member,
We have temporarily suspended your email account [nombreusuario].
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e.
change of address).
2. Submiting invalid information during the initial sign
up process.
3. An innability to accurately verify your selected
option of subscription due to an internal error within
our processors.
See the details to reactivate your [dominio] account.
Sincerely,The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]


Dear [dominio] Member,
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experience and confirm the attached document so you
will not run into any future problems with the online
service.
If you choose to ignore our request, you leave us no
choice but to cancel your membership.
Virtually yours,
The [dominio] Support Team
+++ Attachment: No Virus found
+++ [dominio] Antivirus - www.[dominio]

Datos adjuntos: [uno de los siguientes]

crazy5.scr
crazyjump.scr
exposed.scr
funny1.scr
funny2.scr
funny3.scr
haha.scr
lucky.scr
mjackson.scr
picture1.scr

El gusano puede propagarse por recursos compartidos en redes con contraseñas débiles. Busca recursos IPC$, y se copia en ellos.

Busca algunas de las siguientes carpetas compartidas pertenecientes a archivos de intercambio P2P:

\eDonkey2000\Incoming
\Kazaa Lite\My Shared Folder
\kazaa\my shared folder
\LimeWire\Shared
\Morpheus\My Shared Folder
\my downloads

También busca todas las carpetas que contengan la cadena "My Shared Folder" en su nombre o camino.

En todos los casos, se copia en cada carpeta encontrada con algunos de los siguientes nombres:

activation_crack.exe
Alcohol_120%%_patch.exe
Angilina_Jolie_Sucks_a_Dick.exe
Backdoor Capabilities.exe
Britney_Spears_sucks_someones_dick.scr
BritneySpears_SoSexy.exe
DAP7.4.x.x_crack.exe
DarkAngel_Lady_get_fucked_so_hardly.exe
dcom_patch.exe
icq2006-final.exe
Install_Dir.exe
JenniferLopez_Film_Sexy_Enough.exe
KAV2006_Crack.exe
lcc-win32_update.exe
LimeWire_speed++.exe
Madonna_the_most_sexiest_girl_in_the_world.com
Mariah_Carey_showering_in_bathroom.com
MSN7.0Loader.exe
MSN7.0UniversalPatch.exe
nice_big_asshole_fuck_Jennifer_Lopez.scr
NortonAV2006_Crack.exe
notepad++.exe
nuke2006.exe
office_crack.exe
Opera8.exe
Outlook_hotmail+_fix.exe
RealPlayerv10.xx_crack.exe
rootkitXP.exe
strip-girl-3.0.exe
TaskCatcher.exe
YahooMessenger_Loader.exe
ZoneAlarmPro6.xx_Crack.exe

El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor predeterminado, y queda a la espera de comandos de un usuario remoto.

Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:

- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora

El gusano intenta finalizar los siguientes procesos, pertenecientes a conocidos programas de seguridad (antivirus, cortafuegos, etc.):

_avpcc.exe
_avpm.exe
_findviru.exe
ackwin32.exe
alogserv.exe
amon.exe
anti-trojan.exe
apvxdwin.exe
atguard.exe
ave32.exe
avkserv.exe
avnt.exe
avpcc.exe
avpm.exe
avwin95.exe
blackice.exe
claw95cf.exe
cmgrdian.exe
ecengine.exe
esafe.exe
findviru.exe
fprot.exe
f-prot95.exe
fp-win.exe
guarddog.exe
iamapp.exe
iomon98.exe
kavpf.exe
lookout.exe
navapsvc.exe
navapw32.exe
navnt.exe
navw32.exe
navwnt.exe
nod32.exe
nsplugin.exe
ogrc.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
rav7.exe
rulaunch.exe
scan32.exe
spider.exe
vet95.exe
vettray.exe
vsmain.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zonalarm.exe
zonalm2601.exe
zonealarm.exe


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 12-Apr-2006, a las 01:19 Vistas: 391
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
controla, email, irc, p2p, vía


Temas Similares
» Mytob.TQ. Instala BOT y controla el PC vía IRC 0
» Mytob.NU. Instala BOT y controla el PC vía IRC 0
» Mytob.NT. Instala BOT y controla el PC vía IRC 0
» Mytob.NR. Instala BOT y controla el PC vía IRC 0
» Mytob.ND. Instala BOT y controla el PC vía IRC 0
» Mytob.MZ. Instala BOT y controla el PC vía IRC 0
» Mytob.MX. Instala BOT y controla el PC vía IRC 0
» Mytob.MW. Instala BOT y controla el PC vía IRC 0
» Mytob.MV. Instala BOT y controla el PC vía IRC 0
» Mytob.MU. Instala BOT y controla el PC vía IRC 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 16:16.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4