Post by Jaguar_Queen on May 30, 2005 23:28:12 GMT -5
Tengan cuidado con este,
Tomado de Foroanime.com:
(Gracias Raven!)
Nombre: W32/Mytob.CY Nombre NOD32: Win32/Mytob.CY
Tipo: Gusano de Internet Alias: Mytob.CY, Net-Worm.Win32.Mytob.ba, W32.Mydoom.BU@mm, W32/MyTob.BA-mm, W32/Mytob.DY@mm, W32/Mytob.gen, W32/Mytob-CN, Win32.4, Win32.HLLM.MyDoom.44, Win32.Worm.Mytob.BX, Win32/Mytob.CY, Win32:Mytob-CQ, Worm.Mytob.CA, Worm/Mytob.DZ, W32/Mytob.CY Fecha: 29/may/05 Plataforma: Windows 32-bit Tamaño: 48,254 bytes (YODA, UPX, PENCRYPT) Puertos: TCP 6667.
user posted image
Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC. Un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos, según publica VSantivirus.
También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad y otras.
Al ejecutarse, crea el siguiente archivo en el sistema infectado:
c:\windows\system32\nec.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano modifica las siguientes ramas del registro para asegurarse su ejecución automática en cada nuevo reinicio del equipo infectado:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "nec.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "nec.exe"
En Windows XP con SP2, también modifica la siguiente entrada para bajar el nivel de seguridad en el equipo infectado (políticas del cortafuegos):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
El gusano se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.
Para ello, obtiene direcciones electrónicas de la libreta de Windows y de todos los archivos de las siguientes carpetas:
C:\WINDOWS\Temporary Internet Files\
C:\Documents and Settings\[usuario]
\Configuración local\Archivos temporales de Internet\
c:\windows\system32\
También busca direcciones en archivos con las siguientes extensiones, en todas las unidades locales de la C a la Y inclusive:
.adb
.asp
.cgi
.dbx
.htm*
.jsp
.php
.sht*
.tbb
.txt
.wab
.xml
El gusano evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:
.gov
.mil
abuse
accoun
acketst
admin
administrator
anyone
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
mail
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
register
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
webmaster
www
you
your
El gusano utiliza su propio motor SMTP para enviar los mensajes. Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.
Los mensajes enviados tienen las siguientes características:
De: [dirección falsa]
Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sam
serg
smith
stan
steve
ted
tom
Asunto: [uno de los siguientes]
- *DETECTED* Online User Violation
- *WARNING* Your Email Account Will Be Closed
- Account Alert
- Email Account Suspension
- Important Notification
- Notice of account limitation
- Notice: **Last Warning**
- Security measures
- Your Email Account is Suspended For Security Reasons
Texto del mensaje: [uno de los siguientes]
Once you have completed the form in the attached file ,
your account records will not be interrupted and will
continue as normal.
Please read the attached document and follow it's
instructions.
The original message has been included as an attachment.
We attached some important information regarding your
account.
We regret to inform you that your account has been
suspended due to the violation of our site policy, more
info is attached.
Datos adjuntos: [uno de los siguientes]
account-details.
document.
email-doc.
email-info.
INFO.
information.
information.
info-text.
instructions.
Donde "" puede ser una de las siguientes extensiones:
.bat
.cmd
.doc
.exe
.htm
.pif
.scr
.tmp
.txt
.zip
En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con el mismo nombre y doble extensión separadas por espacios, donde la primer extensión será una de las siguientes:
.doc
.htm
.txt
Y la segunda una de las siguientes:
.exe
.pif
.scr
Ejemplos:
email-doc .exe
information.doc .scr
El componente BOT se conecta por el puerto TCP 6667 al canal de IRC "#skyline2" en el siguiente servidor, y queda a la espera de comandos de un usuario remoto:
irc.blackcarder.net
Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:
- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora
Modifica el archivo HOSTS con el siguiente texto, para que los sitios indicados allí no puedan ser accedidos desde una máquina infectada:
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 securityresponse .symantec .com
127 .0 .0 .1 symantec .com
127 .0 .0 .1 www .sophos .com
127 .0 .0 .1 sophos .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 mcafee .com
127 .0 .0 .1 liveupdate .symantecliveupdate .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 f-secure .com
127 .0 .0 .1 www .f-secure .com
127 .0 .0 .1 kaspersky .com
127 .0 .0 .1 kaspersky-labs .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 avp .com
127 .0 .0 .1 www .networkassociates .com
127 .0 .0 .1 networkassociates .com
127 .0 .0 .1 ww .ca .com
127 .0 .0 .1 ca .com
127 .0 .0 .1 mast .mcafee .com
127 .0 .0 .1 my-etrust .com
127 .0 .0 .1 www .my-etrust .com
127 .0 .0 .1 download .mcafee .com
127 .0 .0 .1 dispatch .mcafee .com
127 .0 .0 .1 secure .nai .com
127 .0 .0 .1 nai .com
127 .0 .0 .1 www .nai .com
127 .0 .0 .1 update .symantec .com
127 .0 .0 .1 updates .symantec .com
127 .0 .0 .1 us .mcafee .com
127 .0 .0 .1 liveupdate .symantec .com
127 .0 .0 .1 customer .symantec .com
127 .0 .0 .1 rads .mcafee .com
127 .0 .0 .1 trendmicro .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 microsoft .com
127 .0 .0 .1 www .msn .com
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virustotal .com
Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:
X-B-T-3
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\nec.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Tomado de Foroanime.com:
(Gracias Raven!)
Nombre: W32/Mytob.CY Nombre NOD32: Win32/Mytob.CY
Tipo: Gusano de Internet Alias: Mytob.CY, Net-Worm.Win32.Mytob.ba, W32.Mydoom.BU@mm, W32/MyTob.BA-mm, W32/Mytob.DY@mm, W32/Mytob.gen, W32/Mytob-CN, Win32.4, Win32.HLLM.MyDoom.44, Win32.Worm.Mytob.BX, Win32/Mytob.CY, Win32:Mytob-CQ, Worm.Mytob.CA, Worm/Mytob.DZ, W32/Mytob.CY Fecha: 29/may/05 Plataforma: Windows 32-bit Tamaño: 48,254 bytes (YODA, UPX, PENCRYPT) Puertos: TCP 6667.
user posted image
Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC. Un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos, según publica VSantivirus.
También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad y otras.
Al ejecutarse, crea el siguiente archivo en el sistema infectado:
c:\windows\system32\nec.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano modifica las siguientes ramas del registro para asegurarse su ejecución automática en cada nuevo reinicio del equipo infectado:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "nec.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "nec.exe"
En Windows XP con SP2, también modifica la siguiente entrada para bajar el nivel de seguridad en el equipo infectado (políticas del cortafuegos):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
El gusano se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.
Para ello, obtiene direcciones electrónicas de la libreta de Windows y de todos los archivos de las siguientes carpetas:
C:\WINDOWS\Temporary Internet Files\
C:\Documents and Settings\[usuario]
\Configuración local\Archivos temporales de Internet\
c:\windows\system32\
También busca direcciones en archivos con las siguientes extensiones, en todas las unidades locales de la C a la Y inclusive:
.adb
.asp
.cgi
.dbx
.htm*
.jsp
.php
.sht*
.tbb
.txt
.wab
.xml
El gusano evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:
.gov
.mil
abuse
accoun
acketst
admin
administrator
anyone
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
register
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
webmaster
www
you
your
El gusano utiliza su propio motor SMTP para enviar los mensajes. Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.
Los mensajes enviados tienen las siguientes características:
De: [dirección falsa]
Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sam
serg
smith
stan
steve
ted
tom
Asunto: [uno de los siguientes]
- *DETECTED* Online User Violation
- *WARNING* Your Email Account Will Be Closed
- Account Alert
- Email Account Suspension
- Important Notification
- Notice of account limitation
- Notice: **Last Warning**
- Security measures
- Your Email Account is Suspended For Security Reasons
Texto del mensaje: [uno de los siguientes]
Once you have completed the form in the attached file ,
your account records will not be interrupted and will
continue as normal.
Please read the attached document and follow it's
instructions.
The original message has been included as an attachment.
We attached some important information regarding your
account.
We regret to inform you that your account has been
suspended due to the violation of our site policy, more
info is attached.
Datos adjuntos: [uno de los siguientes]
account-details.
document.
email-doc.
email-info.
INFO.
information.
information.
info-text.
instructions.
Donde "
" puede ser una de las siguientes extensiones:.bat
.cmd
.doc
.exe
.htm
.pif
.scr
.tmp
.txt
.zip
En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con el mismo nombre y doble extensión separadas por espacios, donde la primer extensión será una de las siguientes:
.doc
.htm
.txt
Y la segunda una de las siguientes:
.exe
.pif
.scr
Ejemplos:
email-doc .exe
information.doc .scr
El componente BOT se conecta por el puerto TCP 6667 al canal de IRC "#skyline2" en el siguiente servidor, y queda a la espera de comandos de un usuario remoto:
irc.blackcarder.net
Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:
- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora
Modifica el archivo HOSTS con el siguiente texto, para que los sitios indicados allí no puedan ser accedidos desde una máquina infectada:
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 securityresponse .symantec .com
127 .0 .0 .1 symantec .com
127 .0 .0 .1 www .sophos .com
127 .0 .0 .1 sophos .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 mcafee .com
127 .0 .0 .1 liveupdate .symantecliveupdate .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 f-secure .com
127 .0 .0 .1 www .f-secure .com
127 .0 .0 .1 kaspersky .com
127 .0 .0 .1 kaspersky-labs .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 avp .com
127 .0 .0 .1 www .networkassociates .com
127 .0 .0 .1 networkassociates .com
127 .0 .0 .1 ww .ca .com
127 .0 .0 .1 ca .com
127 .0 .0 .1 mast .mcafee .com
127 .0 .0 .1 my-etrust .com
127 .0 .0 .1 www .my-etrust .com
127 .0 .0 .1 download .mcafee .com
127 .0 .0 .1 dispatch .mcafee .com
127 .0 .0 .1 secure .nai .com
127 .0 .0 .1 nai .com
127 .0 .0 .1 www .nai .com
127 .0 .0 .1 update .symantec .com
127 .0 .0 .1 updates .symantec .com
127 .0 .0 .1 us .mcafee .com
127 .0 .0 .1 liveupdate .symantec .com
127 .0 .0 .1 customer .symantec .com
127 .0 .0 .1 rads .mcafee .com
127 .0 .0 .1 trendmicro .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 microsoft .com
127 .0 .0 .1 www .msn .com
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virustotal .com
Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:
X-B-T-3
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\nec.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
