alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Protección disponible desde | 23 de julio de 2005 12:08:42 (GMT) |
| Última actualización | 18 de agosto de 2005 13:13:09 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Mytob-HM es un gusano de email que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
W32/Mytob-HM puede propagarse a través de email y aprovechándose de varias vulnerabilidades en el sistema operativo, incluyendo LSASS (MS04-011). Los mensajes que envía W32/Mytob-HM tienen las siguientes características:
Asunto:
document Good day Hello Mail Delivery System Mail Transaction Failed message readme Server Report Status
Mensaje:
'This is a multi-part message in MIME format.'
'Mail transaction failed. Partial message is available.'
'The message contains Unicode characters and has been sent as a binary attachment.'
'The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.'
'The original message was included as an attachment.'
'Here are your banks documents.'
El archivo adjunto consta de un nombre base seguido de las extensiones BAT, CMD, PIF, SCR, EXE o ZIP. El gusano puede crear extensiones dobles donde la primera extensión es DOC, TXT o HTM y, la segunda, PIF, SCR, EXE o ZIP.
Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Mytob-HM (detectado como W32/Mytob-Fam) desde la versión 3.94.W32/Mytob-HM es un gusano de email que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
Al ejecutarse por primera vez, W32/Mytob-HM se copia en la carpeta del sistema de Windows con el nombre yahooicons.exe y crea las siguientes entradas en el registro:
HKCU\System\CurrentControlSet\Control\Lsa WINTASK "yahooicons.exe"
HKCU\Software\Microsoft\OLE WINTASK "yahooicons.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINTASK "yahooicons.exe"
HKLM\System\CurrentControlSet\Control\Lsa WINTASK "yahooicons.exe"
HKLM\Software\Microsoft\Ole WINTASK "yahooicons.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINTASK "yahooicons.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices WINTASK "yahooicons.exe"
W32/Mytob-HM se copia en la carpeta raíz como:
funny_pic.scr my_photo2005.scr see_this!!.scr
y descarga un archivo llamado hellmsn.exe (detectado por Sophos como W32/Mytob-D) en la misma ubicación. Este componente intenta extender el gusano enviándose a los archivos SCR mencionados anteriormente a todos los contactos on-line de Windows Messenger.
W32/Mytob-HM también intenta modificar el archivo HOSTS para evitar el acceso a sitios Web relacionados con programas de seguridad informática:
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com
W32/Mytob-HM puede propagarse a través de email y aprovechándose de varias vulnerabilidades en el sistema operativo, incluyendo LSASS (MS04-011). Los mensajes que envía W32/Mytob-HM tienen las siguientes características:
Asunto:
document Good day Hello Mail Delivery System Mail Transaction Failed message readme Server Report Status
Mensaje:
'This is a multi-part message in MIME format.'
'Mail transaction failed. Partial message is available.'
'The message contains Unicode characters and has been sent as a binary attachment.'
'The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.'
'The original message was included as an attachment.'
'Here are your banks documents.'
El archivo adjunto consta de un nombre base seguido de las extensiones BAT, CMD, PIF, SCR, EXE o ZIP. El gusano puede crear extensiones dobles donde la primera extensión es DOC, TXT o HTM y, la segunda, PIF, SCR, EXE o ZIP.
W32/Mytob-HM recolecta direcciones de email desde archivos en el ordenador infectado y desde la agenda de Windows. El gusano evita enviar mensajes a direcciones que contengan las siguientes cadenas:
.gov .mil accoun acketst admin anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google google gov. help iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix unix usenet utgers.ed webmaster you your
Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Mytob-HM (detectado como W32/Mytob-Fam) desde la versión 3.94.
|
