Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Mytob.CU

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Mytob.CU realiza las siguientes acciones:

  • Se conecta al servidor IRC irc.blackcarder.net y espera órdenes de control remoto que llevar a cabo en el ordenador afectado, como por ejemplo borrar, descargar y ejecutar archivos.
  • Finaliza los siguientes procesos, si se encuentran activos en memoria:
    cmd.exe
    msconfig.exe
    navapw32.exe
    navw32.exe
    netstat.exe
    PandaAVEngine.exe
    regedit.exe
    taskmgr.exe
    wincfg32.exe
    zapro.exe
    zonealarm.exe

    Algunos de estos procesos pertenecen a herramientas de seguridad y de sistema, entre otros, y finalizarlos deja al ordenador afectado vulnerable frente al ataque de otro malware.
  • Evita que el usuario pueda acceder a páginas pertenecientes a compañías antivirus.

Metodo de Infección 

Mytob.CU crea el archivo 1HELLBOT.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

 

Mytob.CU modifica el archivo HOSTS. Mediante dicha modificación, Mytob.CU evita que el usuario pueda acceder a las páginas web de determinadas empresas antivirus.

 

Mytob.CU crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    HELLBOT TEST = 1hellbot.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunService
    HELLBOT TEST = 1hellbot.exe
    Mediante estas entradas, Mytob.CU consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Mytob.CU se propaga a través del correo electrónico y de recursos compartidos de red.

 

1.- Propagación a través del correo electrónico.

Mytob.CU realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo de características variables, escrito en inglés:

    Remitente:
    Mytob.CU falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse     aquí.

    Asunto: es variable, y puede ser uno de los siguientes:
    *IMPORTANT* Please Validate Your Email Account
    *IMPORTANT* Your Account Has Been Locked
    Email Account Suspension
    Notice: **Last Warning**
    Notice:***Your email account will be suspended***
    Security measures
    Your email account access is restricted
    Your Email Account is Suspended For Security Reasons

    Contenido: uno de los siguientes:

    We have suspended some of your email services, to resolve the problem you should read the attached document.

    To safeguard your email account from possible termination, please see the attached file.

    Account Information Are Attached!

    Once you have completed the form in the attached file, your
    account records will not be interrupted and will continue as normal.

    To unblock your email account acces, please see the attachment.
    Follow the instructions in the attachment.

    Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión, aunque también puede consistir en una serie de caracteres aleatorios:
    Posibles nombres: DOCUMENT_FULL, EMAIL-DOC, EMAIL-INFO, EMAIL-TEXT, IMPORTANT, INFO, INFORMATION, INFO-TEXT, YOUR_DETAILS.
    Posibles extensiones: BAT, CMD, EXE, PIF o SCR.
  • El ordenador es afectado cuando se ejecuta el archivo adjunto.
  • Mytob.CU busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, CGI, DBX, HTM, JSP, PHP, PL, SHT, TBB, TXT, WAB y XML.
  • Mytob.CU envía una copia de sí mismo a todas las direcciones que ha recogido. Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
    .gov, .mil, accoun, acketst, admin, anyone, arin., avp, berkeley, borlan, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, you y your.

 

2.- Propagación a través de redes.

Mytob.CU realiza el siguiente proceso:

  • Si el ordenador afectado forma parte de una red, intenta acceder a los recursos compartidos de red.
  • Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
  • Si consigue acceder, realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles  

Mytob.CU está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 33280 Bytes, y está comprimido mediante Morphine.

>

Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info