Mytob.JF. Se propaga por e-mail y vulnerabilidad LSASSNombre: Mytob.JF
Nombre NOD32: Win32/Mytob.JF
Tipo: Gusano de Internet
Alias: Mytob.JF, Backdoor.Win32.Wootbot.gen, BackDoor.Wootbot.8.AU, Backdoor.Wootbot.gen, Trojan.Wootbot.Gen.94338.MX, W32.Mytob@mm, W32/Forbot-FK, W32/Mytob.gen@MM, W32/MyTob.JX-mm, W32/Sdbot.ETL.worm, W32/Sdbot.LWH, W32/SDBot.RU, W32/SDBot.RUA, Win32.HLLW.ForBot, Win32/Mytob.JF, Win32:Mytob-KS, Worm.Mytob.HP, Worm/Wootbot.94359
Plataforma: Windows 32-bit
Tamaño: 94,359 bytes (UPACK)
Puerto: TCP 445
Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC. Un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos.
También se aprovecha de la vulnerabilidad en el componente LSASS para propagarse (MS04-011).
Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema:
c:\windows\system32\mailinfo.exe
El gusano modifica las siguientes ramas del registro para asegurarse su ejecución automática en cada nuevo reinicio del equipo infectado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Help = mailinfo.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Help = mailinfo.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Help = mailinfo.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Windows Help = mailinfo.exe
También crea el siguiente servicio:
Nombre de servicio: shit
Nombre para mostrar: Windows Help
Ruta de acceso al ejecutable: [camino]\mailinfo.exe
Para ello crea la siguiente entrada en el registro:
HKLM\SYSTEM\CurrentControlSet\Services\shit
El gusano se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.
Los mensajes enviados tienen las siguientes características:
De: [dirección falsa]
Asunto: [uno de los siguientes]
- *DETECTED* Online User Violation
- *WARNING* Your email account is suspended
- Email Account Suspension
- Important Notification
- Members Support
- Notice of account limitation
- Security measures
- Warning Message: Your services near to be closed.
- We have suspended your account
- You are banned!!!
- Your Account is Suspended
- YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Dear [dominio] Member,
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experience and confirm the attached document so you will
not run into any future problems with the online service.
Virtually yours,
The [dominio] Support Team
Ejemplo 2:
Dear [dominio] Member,
We have temporarily suspended your email account
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e.
change of address).
2. Submiting invalid information during the initial sign up
process.
3. An innability to accurately verify your selected option
of subscription due to an internal error within our
processors.
See the attached details to reactivate your [dominio]
account.
Sincerely,The [dominio] Support Team
Some information about your [dominio] account is attached.
The [dominio] Support Team
Datos adjuntos: [uno de los siguientes]
[caracteres al azar].???
account-details.???
account-info.???
account-report.???
document.???
email-details.???
important-details.???
information.???
readme.???
Donde "???" puede ser una de las siguientes extensiones:
.bat
.cmd
.exe
.pif
.scr
.zip
En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con el mismo nombre y doble extensión separadas por espacios, donde la primer extensión será una de las siguientes:
.doc
.htm
.txt
Y la segunda una de las siguientes:
.exe
.pif
.scr
Ejemplos:
account-details.htm .pif
document.txt .exe
El componente BOT se conecta a un canal de IRC en un servidor predeterminado, para recibir órdenes de forma remota. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:
- Descargar archivos
- Ejecutar archivos
- Borrar archivos
- Actualizarse a si mismo
- Obtener información del equipo infectado
El gusano también puede propagarse explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm). Para ello busca equipos vulnerables en el puerto TCP 445. Son vulnerables todas las computadoras bajo Windows XP o 2000, sin el parche MS04-011 instalado y sin cortafuegos.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.
Los usuarios de Windows XP SP2 no están afectados por esta vulnerabilidad.Reparación IMPORTANTE:Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
9. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\shit
11. Haga clic en la carpeta "shit" y bórrela.
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/mytob-jf.htm
