Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Encyclopedia
GetVirusCard
True
0
Efectos
Mytob.DW realiza las siguientes acciones:
- Se conecta al servidor IRC irc.blackcarder.net y se conecta al canal #hb3f1x3 para esperar órdenes de control, que permiten administrar remotamente el ordenador afectado.
- Finaliza los siguientes procesos, si se encuentran activos en memoria:
_
_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE.
A
ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ARR.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AU.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTO-PROTECT.NAV80TRY.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCC32.EXE, AVGCTRL.EXE, AVGNT.EXE, AVGSERV.EXE, AVGSERV9.EXE, AVGUARD.EXE, AVGW.EXE, AVKPOP.EXE, AVKSERV.EXE, AVKSERVICE.EXE, AVKWCTl9.EXE, AVLTMAIN.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVSYNMGR.EXE, AVWINNT.EXE, AVWUPD.EXE, AVWUPD32.EXE, AVWUPSRV.EXE, AVXMONITOR9X.EXE, AVXMONITORNT.EXE, AVXQUAR.EXE.
B
BACKWEB.EXE, BARGAINS.EXE, BD_PROFESSIONAL.EXE, BEAGLE.EXE, BELT.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BLSS.EXE, BOOTCONF.EXE, BOOTWARN.EXE, BORG2.EXE, BPC.EXE, BRASIL.EXE, BS120.EXE, BUNDLE.EXE, BVT.EXE.
C
CCAPP.EXE, CCEVTMGR.EXE, CCPXYSVC.EXE, CDP.EXE, CFD.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95CF.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CLICK.EXE, CMD.EXE, CMD32.EXE, CMESYS.EXE, CMGRDIAN.EXE, CMON016.EXE, CONNECTIONMONITOR.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CTRL.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE.
D
DATEMANAGER.EXE, DCOMX.EXE, DEFALERT.EXE, DEFSCANGUI.EXE, DEFWATCH.EXE, DEPUTY.EXE, DIVX.EXE, DLLCACHE.EXE, DLLREG.EXE, DOORS.EXE, DPF.EXE, DPFSETUP.EXE, DPPS2.EXE, DRWATSON.EXE, DRWEB32.EXE, DRWEBUPW.EXE, DSSAGENT.EXE, DVP95.EXE, DVP95_0.EXE.
E
ECENGINE.EXE, EFPEADM.EXE, EMSW.EXE, ENT.EXE, ESAFE.EXE, ESCANHNT.EXE, ESCANV95.EXE, ESPWATCH.EXE, ETHEREAL.EXE, ETRUSTCIPE.EXE, EVPN.EXE, EXANTIVIRUS-CNET.EXE, EXE.AVXW.EXE, EXPERT.EXE, EXPLORE.EXE.
F
FAMEH32.EXE, FAST.EXE, FCH32.EXE, FIH32.EXE, FINDVIRU.EXE, FIREWALL.EXE, FNRB32.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAA.EXE, FSAV.EXE, FSAV32.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, FSGK32.EXE, FSM32.EXE, FSMA32.EXE, FSMB32.EXE, F-STOPW.EXE.
G
GATOR.EXE, GBMENU.EXE, GBPOLL.EXE, GENERICS.EXE, GMT.EXE, GUARD.EXE, GUARDDOG.EXE.
H
HACKTRACERSETUP.EXE, HBINST.EXE, HBSRV.EXE, HOTACTIO.EXE, HOTPATCH.EXE, HTLOG.EXE, HTPATCH.EXE, HWPE.EXE, HXDL.EXE, HXIUL.EXE.
I
IAMAPP.EXE, IAMSERV.EXE, IAMSTATS.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IDLE.EXE, IEDLL.EXE, IEDRIVER.EXE, IEXPLORER.EXE, IFACE.EXE, IFW2000.EXE, INETLNFO.EXE, INFUS.EXE, INFWIN.EXE, INIT.EXE, INTDEL.EXE, INTREN.EXE, IOMON98.EXE, ISTSVC.EXE.
J
JAMMER.EXE, JDBGMRG.EXE, JEDI.EXE.
K
KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KAVPF.EXE, KAZZA.EXE, KEENVALUE.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KERNEL32.EXE, KILLPROCESSSETUP161.EXE.
L
LAUNCHER.EXE, LDNETMON.EXE, LDPRO.EXE, LDPROMENU.EXE, LDSCAN.EXE, LNETINFO.EXE, LOADER.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LORDPE.EXE, LSETUP.EXE, LUALL.EXE, LUAU.EXE, LUCOMSERVER.EXE, LUINIT.EXE, LUSPT.EXE.
M
MAPISVC32.EXE, MCAGENT.EXE, MCMNHDLR.EXE, MCSHIELD.EXE, MCTOOL.EXE, MCUPDATE.EXE, MCVSRTE.EXE, MCVSSHLD.EXE, MD.EXE, MFIN32.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGAVRTCL.EXE, MGAVRTE.EXE, MGHTML.EXE, MGUI.EXE, MINILOG.EXE, MMOD.EXE, MONITOR.EXE, MOOLIVE.EXE, MOSTAT.EXE, MPFAGENT.EXE, MPFSERVICE.EXE, MPFTRAY.EXE, MRFLUX.EXE, MSAPP.EXE, MSBB.EXE, MSBLAST.EXE, MSCACHE.EXE, MSCCN32.EXE, MSCMAN.EXE, MSCONFIG.EXE, MSDM.EXE, MSDOS.EXE, MSIEXEC16.EXE, MSINFO32.EXE, MSLAUGH.EXE, MSMGT.EXE, MSMSGRI32.EXE, MSSMMC32.EXE, MSSYS.EXE, MSVXD.EXE, MU0311AD.EXE, MWATCH.EXE.
N
N32SCANW.EXE, NAV.EXE, NAVAP.NAVAPSVC.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVLU32.EXE, NAVNT.EXE, NAVSTUB.EXE, NAVW32.EXE, NAVWNT.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NEOWATCHLOG.EXE, NETARMOR.EXE, NETD32.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NETUTILS.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NOD32.EXE, NORMIST.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NOTSTART.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NPSCHECK.EXE, NPSSVC.EXE, NSCHED32.EXE, NSSYS32.EXE, NSTASK32.EXE, NSUPDATE.EXE, NT.EXE, NTRTSCAN.EXE, NTVDM.EXE, NTXconfig.EXE, NUI.EXE, NUPGRADE.EXE, NVARCH16.EXE, NVC95.EXE, NVSVC32.EXE, NWINST4.EXE, NWSERVICE.EXE, NWTOOL16.EXE.
O
OLLYDBG.EXE, ONSRVR.EXE, OPTIMIZE.EXE, OSTRONET.EXE, OTFIX.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE.
P
PADMIN.EXE, PANIXK.EXE, PATCH.EXE, PAVCL.EXE, PAVPROXY.EXE, PAVSCHED.EXE, PAVW.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PCSCAN.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PERSWF.EXE, PF2.EXE, PFWADMIN.EXE, PGMONITR.EXE, PINGSCAN.EXE, PLATIN.EXE, POP3TRAP.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PORTMONITOR.EXE, POWERSCAN.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PRIZESURFER.EXE, PRMT.EXE, PRMVR.EXE, PROCDUMP.EXE, PROCESSMONITOR.EXE, PROCEXPLORERV1.0.EXE, PROGRAMAUDITOR.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE.
Q
QCONSOLE.EXE, QSERVER.EXE.
R
RAPAPP.EXE, RAV7.EXE, RAV7WIN.EXE, RAV8WIN32ENG.EXE, RAY.EXE, RB32.EXE, RCSYNC.EXE, REALMON.EXE, REGED.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCAN.EXE, RTVSCN95.EXE, RULAUNCH.EXE, RUN32DLL.EXE, RUNDLL.EXE, RUNDLL16.EXE, RUXDLL32.EXE.
S
SAFEWEB.EXE, SAHAGENT.EXE, SAVE.EXE, SAVENOW.EXE, SBSERV.EXE, SC.EXE, SCAM32.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SHOWBEHIND.EXE, SMC.EXE, SMS.EXE, SMSS32.EXE, SOAP.EXE, SOFI.EXE, SPERM.EXE, SPF.EXE, SPHINX.EXE, SPOLER.EXE, SPOOLCV.EXE, SPOOLSV32.EXE, SPYXX.EXE, SREXE.EXE, SRNG.EXE, SS3EDIT.EXE, SSG_4104.EXE, SSGRATE.EXE, ST2.EXE, START.EXE, STCLOADER.EXE, SUPFTRL.EXE, SUPPORT.EXE, SUPPORTER5.EXE, SVC.EXE, SVCHOSTC.EXE, SVCHOSTS.EXE, SVSHOST.EXE, SWEEP95.EXE, SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE, SYMPROXYSVC.EXE, SYMTRAY.EXE, SYSEDIT.EXE, SYSTEM.EXE, SYSTEM32.EXE, SYSUPD.EXE.
T
TASKMG.EXE, TASKMGR.EXE, TASKMO.EXE, TASKMON.EXE, TAUMON.EXE, TBSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-NT.EXE, TDS-3.EXE, TEEKIDS.EXE, TFAK.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRICKLER.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, TSADBOT.EXE, TVMD.EXE, TVTMD.EXE.
U
UNDOBOOT.EXE, UPDAT.EXE, UPDATE.EXE, UPGRAD.EXE, UTPOST.EXE.
V
VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VET32.EXE, VET95.EXE, VETTRAY.EXE, VFSETUP.EXE, VIR-HELP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC32.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCAN40.EXE, VSCENU6.02D30.EXE, VSCHED.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE.
W
W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBDAV.EXE, WEBSCANX.EXE, WEBTRAP.EXE, WFINDV32.EXE, WHOSWATCHINGME.EXE, WIMMUN32.EXE, WIN32.EXE, WIN32US.EXE, WINACTIVE.EXE, WIN-BUGSFIX.EXE, WINDOW.EXE, WINDOWS.EXE, WININETD.EXE, WININIT.EXE, WININITX.EXE, WINLOGIN.EXE, WINMAIN.EXE, WINNET.EXE, WINPPR32.EXE, WINRECON.EXE, WINSERVN.EXE, WINSSK32.EXE, WINSTART.EXE, WINSTART001.EXE, WINTSK32.EXE, WINUPDATE.EXE, WKUFIND.EXE, WNAD.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WUPDATER.EXE, WUPDT.EXE, WYVERNWORKSFIREWALL.EXE.
X
XPF202EN.EXE.
Z
ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZONALM2601.EXE, ZONEALARM.EXE.
Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. Por el contrario, algunos de dichos procesos pertenecen a otro malware. - Evita que el usuario pueda acceder a los siguientes sitios, pertenecientes mayoritariamente a compañías antivirus:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
oxyd.fr
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
t35.com
t35.net
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.msn.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.oxyd.fr
www.sophos.com
www.symantec.com
www.t35.com
www.t35.net
www.trendmicro.com
www.viruslist.com
www.virustotal.com
Metodo de Infección
Mytob.DW crea el archivo LIEN VAN DE KELDER.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Mytob.DW modifica el archivo HOSTS. Mediante esta modificación, Mytob.DW evita que el usuario pueda acceder a diversas páginas web, pertenecientes en su mayoría a compañías antivirus.
Mytob.DW crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
http://www.lienvandekelder.be = Lien Van de Kelder.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
http://www.lienvandekelder.be = Lien Van de Kelder.exe
Mediante estas entradas, Mytob.DW consigue ejecutarse cada vez que Windows se inicia.
Mytob.DW modifica las siguientes entradas del Registro de Windows:
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
Start = 03, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess
Start = 03, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess
Start = 04, 00, 00, 00
Mediante estas modificaciones, Mytob.DW desactiva el cortafuegos incluido en Windows XP Service Pack 2.
Método de Propagación
Mytob.DW se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo de características variables, escrito en inglés:
Remitente:
Mytob.DW falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esta dirección falsa consiste en un nombre y un dominio de correo aleatorios:
Posibles nombres: admin, administrator, info, mail, register, service, support, webmaster.
Posibles dominios de correos: elige un dominio de alguna de las direcciones que recoge en el ordenador.
Asunto: es variable, y puede ser uno de los siguientes:
<caracteres aleatorios>
*DETECTED* Online User Violation
*WARNING* Your Email Account Will Be Closed
Account Alert
Important Notification
Notice of account limitation
NOTICE: **LAST WARNING**
Security measures
Your Email Account is Suspended For Security Reasons
Contenido: uno de los siguientes:
<random characters>
Once you have completed the form in the attached file, your
account records will not be interrupted and will continue as normal.
The original message has been included as an attachment.
We regret to inform you that your account has been suspended
due to the violation of our site policy, more info is attached.
We attached some important information regarding your account
Please read the attached document and follow its instructions.
Archivo adjunto: tiene nombre variable, pero siempre tiene extensión ZIP:
Posibles nombres: <caracteres aleatorios>.ZIP, ACCOUNT-DETAILS.ZIP, DOCUMENT.ZIP, EMAIL-DOC.ZIP, EMAIL-INFO.ZIP, INFO.ZIP, INFORMATION.ZIP, INFO-TEXT.ZIP, INSTRUCTIONS.ZIP.
El archivo comprimido contendrá un archivo con el mismo nombre y doble extensión, que sigue el patrón: Primera extensión (DOC, HTM, TXT), Varios espacios en blanco, Extensión final ( EXE, PIF, SCR).
- El ordenador es afectado cuando se ejecuta el archivo adjunto.
- Mytob.DW busca direcciones de correo electrónico en archivos que se encuentren en los directorios temporales de Internet, así como en todos los archivos con extensión ADB, ASP, CGI, DBX, HTM, JSP, PHP, PL, SHT, TBB, TXT, WAB y XML.
- El gusano también genera direcciones de correo electrónico, añadiendo los siguientes nombres a los dominios de correo de las direcciones que ha conseguido en el ordenador:
adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, claudia, dan, dave, david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam, serg, smith, stan, steve, ted, tom. - Mytob.DW envía una copia de sí mismo a las direcciones que ha recogido, utilizando su propio motor SMTP.
Para contactar con servidores SMTP remotos, Mytob.DW no utiliza una consulta DNS al registro MX del ordenador, sino que añade uno de los siguientes prefijos al dominio de correo:
gate, ns, relay, mail1, mxs, mx1, smtp, mail, mx. - Sin embargo, Mytob.DW no se envía a ninguna dirección:
- Cuyo dominio contenga alguna de las siguientes cadenas de texto: .gov, .mil, acketst, arin., avp, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
- Cuyo nombre contenga alguna de estas cadenas de texto: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you, your.
Otros Detalles
Mytob.DW está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 29598 Bytes, y está comprimido mediante MEW.
Mytob.DW crea un mutex llamado H-3-1-1-B-0-T-3-F-1-X-3, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
>