Mytob.KR. Instala BOT y troyano, quita proteccionesNombre: Mytob.KR
Nombre NOD32: Win32/Mytob.KR
Tipo: Gusano de Internet
Alias: Mytob.KR, Backdoor.IRCBot.hn, BackDoor.Plunix, Backdoor.SDBot.BBD, Backdoor.Win32.Delf.MS, Backdoor.Win32.Fanbot.c, Backdoor.Win32.IRCBot.hn, DLOADER.IRC.Trojan, I-Worm/Mytob.MC, Trojan.Ircbot.Hn, W32.Mytob@mm, W32/Malware, W32/Mytob.gen@MM, W32/Mytob.JZ.worm, W32/MyTob.KV-wm, W32/Mytob-FT, Win32/Mytob.KR, Win32:Mytob-LY
Plataforma: Windows 32-bit
Tamaño: 37,888 bytes (NSPACK# 1.3)
Puerto: TCP 5262
Gusano que se propaga masivamente por correo electrónico, enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada, en mensajes como los siguientes:
De: [dirección falsa]
Asunto: [uno de los siguientes]
- *DETECTED* Online User Violation
- [caracteres al azar]
- Email Account Suspension
- Important Notification
- Members Support
- Notice of account limitation
- Security measures
- Warning Message: Your services near to be closed.
- You have successfully updated your password
- Your Account is Suspended
- Your Account is Suspended For Security Reasons
- Your new account password is approved
- Your password has been successfully updated
- Your password has been updated
Texto del mensaje: [uno de los siguientes]
Dear user [usuario],
You have successfully updated the password of your
[dominio] account.
If you did not authorize this change or if you need
assistance with your account, please contact [dominio]
customer service at: [dirección]
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ Antivirus - www.[dominio]
Dear user [usuario],
It has come to our attention that your [dominio] User
Profile ( x ) records are out of date. For further details
see the attached document.
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]
Dear [dominio] Member,
We have temporarily suspended your email account
[dirección].
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e.
change of address).
2. Submiting invalid information during the initial sign up
process.
3. An innability to accurately verify your selected option
of subscription due to an internal error within our
processors.
See the details to reactivate your [dominio] account.
Sincerely,The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]
Dear [dominio] Member,
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experience and confirm the attached document so you will
not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice
but to cancel your membership.
Virtually yours,
The [dominio] Support Team
+++ Attachment: No Virus found
+++ [dominio] Antivirus - www.[dominio]
Datos adjuntos: [uno de los siguientes]
[caracteres al azar].???
accepted-password.???
account-details.???
account-info.???
account-password.???
account-report.???
approved-password.???
document.???
email-details.???
email-password.???
important-details.???
new-password.???
password.???
readme.???
updated-password.???
Donde "???" puede ser una de las siguientes extensiones:
.exe
.pif
.scr
.zip
Los archivos .ZIP contienen un ejecutable con el mismo nombre del ZIP, y doble extensión. La primera una de las siguientes:
.doc
.htm
.txt
Y la segunda una de las siguientes:
.exe
.pif
.scr
Las direcciones a las que se envía, son tomadas de varios archivos del equipo infectado, y de la libreta de direcciones de Windows.
Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC (un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto.
Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:
- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora
También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad.
Cuando se ejecuta, crea los siguientes archivos, algunos de ellos, con atributos de solo lectura (+R), sistema (+S) y oculto (+H):
c:\shell.sys
c:\windows\phantom.exe
c:\windows\system32\phantom.exe
\TEMP\tmp0808.tmp
\TEMP\tmp0818.tmp
\TEMP\tmp0888.tmp
\TEMP\tmp0989.tmp
La carpeta \TEMP puede ser "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
El gusano también sobrescribe el siguiente archivo, para impedir que el usuario pueda ingresar a determinados sitios de Internet relacionados con programas de seguridad (antivirus, cortafuegos, etc.):
c:\windows\system32\drivers\etc\hosts
Crea las siguientes entradas en el registro de Windows, para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe Phantom.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit = "userinit.exe,Phantom.exe"
Busca una conexión a Internet. Si detecta alguna, intenta conectarse al siguiente servidor de IRC por el puerto TCP 5262:
SmallPhantom.3322.org
Para enviar los mensajes electrónicos, intenta conectarse al siguiente servidor SMTP:
mailin-02.mx.tele2.no
Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:
[Phantom]
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
3. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque las entradas "Shell" y "Userinit", y modifique su contenido, para que queden como se indica aquí:
Shell = "Explorer.exe"
Userinit = "userinit.exe,"
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
6. Reinicie su computadora.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/mytob-kr.htm
