Estás en: Panda Security > Empresas > Security Info > about-malware > encyclopedia > detalle
Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Mytob.S

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Mytob.S realiza las siguientes acciones:

  • Se conecta al servidor 19.xxor.biz y acepta órdenes de control remoto, que serán ejecutadas sobre el ordenador afectado.
  • Evita que el usuario pueda acceder a páginas pertenecientes a compañías antivirus.

Metodo de Infección 

Mytob.S crea los siguientes archivos:

 

Mytob.S modifica el archivo HOSTS. Mediante dicha modificación, Mytob.S evita que el usuario pueda acceder a las páginas web de determinadas empresas antivirus y de seguridad.

 

Mytob.S crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ OLE
    WINTASK = taskgmr.exe
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ OLE
    WINTASK = taskgmr.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    WINTASK = taskgmr.exe
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    WINTASK = taskgmr.exe
  • HKEY_CURRENT_USER\ SYSTEM\ CurrentControlSet\ Control\ Lsa
    WINTASK = taskgmr.exe
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa
    WINTASK = taskgmr.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunService
    WINTASK = taskgmr.exe
    Mediante estas entradas, Mytob.S consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Mytob.S se propaga a través del correo electrónico, de Internet y de recursos compartidos de red.

 

1.- Propagación a través del correo electrónico.

Mytob.S realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo de características variables, escrito en inglés:

    Remitente:
    Mytob.S falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse     aquí.

    Asunto: es variable, y puede ser uno de los siguientes:
    <vacío>
    <caracteres aleatorios>
    Error
    Hello
    Good day
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status

    Contenido: uno de los siguientes:
    <vacío>
    <caracteres aleatorios>
    Mail transaction failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    Here are your banks documents.

    Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
    Posibles nombres: DATA, FILE, TEXT, DOC, README, DOCUMENT o BODY.
    Posibles extensiones: BAT, EXE, PIF, SCRo ZIP.
  • El ordenador es afectado cuando se ejecuta el archivo adjunto.
  • Mytob.S busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB y WAB.
  • Mytob.S envía una copia de sí mismo a todas las direcciones que ha recogido. Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
    -._!, -._!@, .edu, .gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal, Berkeley, borlan, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, you y your.

2.- Propagación a través de Internet.

Mytob.S realiza el siguiente proceso:

  • Genera direcciones IP aleatorias.
  • Intenta acceder a dichas direcciones IP a través del puerto TCP 445.
  • Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
  • En caso afirmativo, creará una copia suya en el ordenador vulnerable, que será posteriormente ejecutada.

3.- Propagación a través de redes.

Mytob.S realiza el siguiente proceso:

  • Si el ordenador afectado forma parte de una red, intenta acceder a los recursos compartidos de red.
  • Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
  • Si consigue acceder, realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles  

Mytob.S está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 51062 Bytes y está comprimido mediante UPack.

Mytob.S crea un mutex llamado ggmutexk2, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info