Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Mytob.A realiza las siguientes acciones:
- Se conecta a un servidor IRC y espera órdenes de control remoto que llevar a cabo en el ordenador afectado.
- Elimina algunas de las variantes de otros gusanos, como por ejemplo Netsky, Sobig, Bagle y Blaster, si éstas se encuentran presentes.
Metodo de Infección
Mytob.A crea el archivo MSNMSGR.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Mytob.A crea las siguientes entradas en el Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
MSN = msnmsgr.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
MSN = msnmsgr.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunService
MSN = msnmsgr.exe
Mediante estas entradas, Mytob.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ OLE
MSN = msnmsgr.exe
HKEY_CURRENT_USER\ SYSTEM\ CurrentControlSet\ Control\ Lsa
MSN = msnmsgr.exe
Método de Propagación
Mytob.A se propaga a través del correo electrónico y de Internet.
1.- Propagación a través del correo electrónico.
Mytob.A realiza el siguiente proceso:
Llega al ordenador en un mensaje de correo de características variables, escrito en inglés:
Remitente:
Mytob.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse
aquí.
Asunto: es variable, y puede ser uno de los siguientes:
<vacío>
<caracteres aleatorios>
Error
Hello
Hi
Test
Mail Delivery System
Mail Transaction Failed
Server Report
StatusContenido: uno de los siguientes:
<vacío>
<caracteres aleatorios>
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
testArchivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
Posibles nombres:
DATA,
DOC,
DOCUMENT,
FILE,
MESSAGE,
TEST,
TEXT.
Posibles extensiones:
BAT,
EXE,
PIF,
SCR,
ZIP.
El ordenador es afectado cuando se ejecuta el archivo adjunto.
Mytob.A busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB y WAB.
Mytob.A envía una copia de sí mismo a todas las direcciones que ha recogido. Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes
cadenas de texto:
-._!,
-._!@,
.edu,
.gov,
.mil,
abuse,
accoun,
acketst,
admin,
anyone,
arin.,
avp,
be_loyal,
Berkeley,
borlan,
bsd,
bugs,
ca,
certific,
contact,
example,
feste,
fido,
foo.,
fsf.,
gnu,
gold-certs,
google,
gov.,
help,
hotmail,
iana,
ibm.com,
icrosof,
icrosoft,
ietf,
info,
inpris,
isc.o,
isi.e,
kernel,
linux,
listserv,
math,
me,
mit.e,
mozilla,
msn.,
mydomai,
no,
nobody,
nodomai,
noone,
not,
nothing,
ntivi,
page,
panda,
pgp,
postmaster,
privacy,
rating,
rfc-ed,
ripe.,
root,
ruslis,
samples,
secur,
sendmail,
service,
site,
soft,
somebody,
someone,
sopho,
submit,
support,
syma,
tanford.e,
the.bat,
unix,
usenet,
utgers.ed,
webmaster,
you y
your.
2.- Propagación a través de Internet.
Mytob.A realiza el siguiente proceso:
Otros Detalles
Mytob.A está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 41824 Bytes y está comprimido mediante FSG.
>