Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Mytob.BC
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Mytob.BC realiza las siguientes acciones:

Se conecta al servidor t3st.m0rtus.info y espera órdenes de control remoto que llevar a cabo en el ordenador afectado.
Descarga malware al ordenador afectado, como el gusano detectado como Faribot.A.
Evita que el usuario pueda acceder a páginas pertenecientes a compañías antivirus.

Metodo de Infección

Mytob.BC crea los siguientes archivos:

EXPLORER.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
FUNNY_PIC.SCR, MY_PHOTO2005.SCR y SEE_THIS!!.SCR, en el directorio raíz de la unidad C:. Estos archivos son una copia del gusano.
HELLMSN.EXE en el directorio raíz de la unidad C:. Este archivo tiene un tamaño de 6050 Bytes y es detectado por Panda Security como W32/Faribot.A.worm.

Mytob.BC modifica el archivo HOSTS. Mediante dicha modificación, Mytob.BC evita que el usuario pueda acceder a las páginas web de determinadas empresas antivirus.

Mytob.BC crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ OLE
WksSVC = EXPLORER.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
WksSVC = EXPLORER.exe
HKEY_CURRENT_USER\ SYSTEM\ CurrentControlSet\ Control\ Lsa
WksSVC = EXPLORER.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Ole
WksSVC = EXPLORER.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
WksSVC = EXPLORER.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
WksSVC = EXPLORER.exe
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ Lsa
WksSVC = EXPLORER.exe
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa
WksSVC = EXPLORER.exe
Mediante estas entradas, Mytob.BC consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación

Mytob.BC se propaga a través del correo electrónico, de Internet y de recursos compartidos de red.

1.- Propagación a través del correo electrónico.

Mytob.BC realiza el siguiente proceso:

Llega al ordenador en un mensaje de correo de características variables, escrito en inglés:

Remitente:
Mytob.BC falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

Asunto: es variable, y puede ser uno de los siguientes:
Error
Hello
Good day
Mail Delivery System
Mail Transaction Failed
Server Report
Status

Contenido: uno de los siguientes:
Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The original message was included as an attachment.

Here are your banks documents.

Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
Posibles nombres: DATA, DOC, DOCUMENT, FILE, README, TEXT, BODY, MESSAGE o TEST.
Posibles extensiones: BAT, CMD, EXE, PIF o SCR.
El ordenador es afectado cuando se ejecuta el archivo adjunto.
Mytob.BC busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB y WAB.
Mytob.BC envía una copia de sí mismo a todas las direcciones que ha recogido. Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
-._!, -._!@, .edu, .gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal, Berkeley, borlan, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, you y your.

2.- Propagación a través de Internet.

Mytob.BC realiza el siguiente proceso:

Genera direcciones IP aleatorias.
Intenta acceder a dichas direcciones IP a través del puerto TCP 445.
Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
En caso afirmativo, creará una copia suya en el ordenador vulnerable, que será posteriormente ejecutada.

3.- Propagación a través de redes.

Mytob.BC realiza el siguiente proceso:

Si el ordenador afectado forma parte de una red, intenta acceder a los recursos compartidos de red.
Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
Si consigue acceder, realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles

Mytob.BC está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 47608 Bytes, y está comprimido mediante UPack.

Mytob.BC crea un mutex llamado H-E-L-L-B-O-T, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info