W32/Mytob-Z

Vea la información para eliminar gusanos.

Lea las instrucciones para eliminar W32/Mytob-Z.

Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Mytob-Z (detectado como W32/MyDoom-Gen) desde la versión 3.92.

W32/Mytob-Z es un gusano de email que incluye un troyano.

W32/Mytob-Z puede extenderse aprovechándose de vulnerabilidades como LSASS (MS04-011).

W32/Mytob-Z recolecta direcciones de email desde archivos en el ordenador infectado y desde la agenda de Windows.Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Mytob-Z (detectado como W32/MyDoom-Gen) desde la versión 3.92.

W32/Mytob-Z es un gusano de email que incluye un troyano.

W32/Mytob-Z puede extenderse aprovechándose de vulnerabilidades como LSASS (MS04-011).

Al ejecutarse por primera vez, W32/Mytob-Z se copia en la carpeta del sistema de Windows con el nombre msmgrxp.exe y creará las siguientes entradas en el registro:

HKCU\Software\Microsoft\OLE WINTASK msmgrxp.exe

HKCU\System\CurrentControlSet\Control\Lsa WINTASK msmgrxp.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINTASK msmgrxp.exe

HKLM\Software\Microsoft\OLE WINTASK msmgrxp.exe

HKLM\System\CurrentControlSet\Control\Lsa WINTASK msmgrxp.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINTASK msmgrxp.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices WINTASK msmgrxp.exe

W32/Mytob-Z se copia en la carpeta raíz como:

my_photo2005.scr see_this!!.scr funny_pic.scr

El gusano también coloca un componente de ayuda en C:\hellmsn.exe, que es detectado por los productos de Sophos como W32/Mytob-D.

W32/Mytob-Z intentará modificar el archivo HOSTS para denegar el acceso a ciertas páginas Web relacionadas con programas de seguridad informática:

127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com

Los mensajes que envía el gusano W32/Mytob-Z tienen las siguientes características:

Asunto:

Error Status Server Report Mail Transaction Failed Mail Delivery System hello Good day

Mensaje:

Here are your banks documents.

The original message was included as an attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

El archivo adjunto consta de un nombre base seguido de las extensiones BAT, CMD, PIF, SCR, EXE o ZIP. El gusano puede crear extensiones dobles donde la primera extensión es DOC, TXT o HTM y, la segunda, PIF, SCR, EXE o ZIP.

W32/Mytob-Z recolecta direcciones de email desde archivos en el ordenador infectado y desde la agenda de Windows.