W32/Mytob-M

Vea la información para eliminar gusanos.

Lea las instrucciones para eliminar W32/Mytob-M.

W32/Mytob-M es un gusano de email que incluye un troyano de puerta trasera.

W32/Mytob-M está activo de forma continua en un segundo plano y permite el acceso no autorizado al equipo infectado a través de canales IRC, incluyendo poder descargar y ejecutar archivos.

W32/Mytob-M se puede enviar como un adjunto de email a direcciones que recolecta desde el ordenador infectado, tanto como un adjunto con una extensión doble o como un archivo ZIP con un archivo con una doble extensión. Los mensajes que envía el gusano tienen las siguientes características:

Asunto: Notice: **Last Warning** *DETECTED* Online User Violation Your Email Account is Suspended For Security Reasons Account Alert Important Notification *WARNING* Your Email Account Will Be Closed Security measures Email Account Suspension Notice of account limitation

Mensaje: Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.

The original message has been included as an attachment.

We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.

We attached some important information regarding your account.

Please read the attached document and follow it's instructions.

Adjunto: email-info email-doc information account-details document INFO instructions info-text information

Primera extensión (del adjunto o del archivo dentro del archivo ZIP): doc htm txt

Segunda extensión (del adjunto o del archivo dentro del archivo ZIP): pif scr exe cmd bat

Si el adjunto es un archivo ZIP tendrá el mismo nombre base que el archivo de doble extensión que contiene.

Ejemplos del nombre del adjunto son document.txt.pif y information.doc.cmd, normalmente con muchos espacios entre las extensiones. W32/Mytob-M es un gusano de email que incluye un troyano de puerta trasera.

W32/Mytob-M está activo de forma continua en un segundo plano y permite el acceso no autorizado al equipo infectado a través de canales IRC, incluyendo poder descargar y ejecutar archivos.

W32/Mytob-M se puede enviar como un adjunto de email a direcciones que recolecta desde el ordenador infectado, tanto como un adjunto con una extensión doble o como un archivo ZIP con un archivo con una doble extensión. Los mensajes que envía el gusano tienen las siguientes características:

Asunto: Notice: **Last Warning** *DETECTED* Online User Violation Your Email Account is Suspended For Security Reasons Account Alert Important Notification *WARNING* Your Email Account Will Be Closed Security measures Email Account Suspension Notice of account limitation

Mensaje: Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.

The original message has been included as an attachment.

We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.

We attached some important information regarding your account.

Please read the attached document and follow it's instructions.

Adjunto: email-info email-doc information account-details document INFO instructions info-text information

Primera extensión (del adjunto o del archivo dentro del archivo ZIP): doc htm txt

Segunda extensión (del adjunto o del archivo dentro del archivo ZIP): pif scr exe cmd bat

Si el adjunto es un archivo ZIP tendrá el mismo nombre base que el archivo de doble extensión que contiene.

Ejemplos del nombre del adjunto son document.txt.pif y information.doc.cmd, normalmente con muchos espacios entre las extensiones.

W32/Mytob-M se copia en la carpeta del sistema de Windows con el nombre "Lien vd Kelder.exe"y creará las siguientes entradas en el registro para activarse al inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run http://www.lienvandekelder.be "Lien vd Kelder.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices http://www.lienvandekelder.be "Lien vd Kelder.exe"

W32/Mytob-M creará las siguientes entradas en el registro, lo que desactivará la ejecución automática de cualquier otro software:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start 4

W32/Mytob-M intentará terminar procesos relacionados con programas antivirus y de seguridad informática, incluyendo REGEDIT.EXE, MSCONFIG.EXE y NETSTAT.EXE.

W32/Mytob-M modifica el archivo HOSTS para bloquear el acceso a las siguientes páginas Web relacionadas con programas de seguridad informática:

127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.msn.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.oxyd.fr 127.0.0.1 oxyd.fr 127.0.0.1 www.t35.com 127.0.0.1 t35.com 127.0.0.1 www.t35.net 127.0.0.1 t35.net