Oleada de variantes del gusano Mytob !

PandaLabs ha detectado – en un intervalo de pocas horas – la aparición de cuatro nuevas variantes del gusano Mytob, denominadas S, U, V y W.

Oleada de variantes del gusano Mytob !Todas ellas tienen características de backdoor, es decir, dejan abierta una puerta trasera en el sistema a través de las cual pueden recibir órdenes. Este proceso no se hace de forma directa, sino a través de dos servidores llamados 19.xxor.biz (en el caso de las variantes S, U y W), e irc.blackcarder.net, que es el empleado por Mytob.V. De esta forma, el autor de estos códigos maliciosos puede controlar cualquiera máquina infectada por alguna de las variantes de Mytob.

Uno de los principales peligros de estos códigos maliciosos reside en su capacidad para modificar el fichero “hosts” del sistema. De esta manera, evitan que los usuarios puedan conectarse a las páginas web de determinados fabricantes de antivirus. De esta manera, imposibilitan la descarga de las actualizaciones necesarias para eliminar a los mencionados gusanos.

Para su propagación, emplean tres métodos distintos:

– Aprovechando la conocida vulnerabilidad LSASS, publicada y corregida por Microsoft en su boletín de seguridad MS04-011, que se encuentra disponible en http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

– A través de recursos compartidos que estén protegidos por contraseñas fácilmente adivinables, lo que se conoce como “contraseñas débiles”.

– Por correo electrónico. Para ello, envían mensajes adjuntando un fichero con extensión .bat, .exe, .pif, .scr o .zip en el que se encuentra el código de Mytob. Este archivo puede tener nombres como Data, Doc, Document, File, Readme, Text o Body, entre otros.

Las direcciones de correo electrónico a las que se envían las obtienen de ficheros con extensiones .adb,.asp, .dbx, .htm, .php, .pl, .sht y .tbb, que se encuentren almacenados en el sistema, así como en la libreta de direcciones de Windows. Además, falsean la dirección del remitente para evitar que las máquinas infectadas puedan ser localizadas rápidamente.

Las nuevas variantes de Mytob evitan enviarse a determinadas direcciones de correo electrónico, entre las que se incluyen algunas correspondientes a determinadas empresas antivirus, tratando de retrasar su detección por parte de las mismas.

Para evitar ejecutarse más de una vez en el sistema, crean diferentes “mutex”, cuyo nombre varía dependiendo de la versión de Mytob. Así, la versión S crea el mutex ggmutexk2 y la U, ggmutexk1. Por su parte, la versión V lo llama H-E-L-L-B-O-T-2-BY-DIABLO, muy similar al de la versión W, denominado H-E-L-L-B-O-T.

“Como viene siendo habitual últimamente, el autor o autores de estos gusanos tratan de poner en circulación un gran número de códigos maliciosos para aumentar la probabilidad de que una máquina puede verse afectada por alguna de ellas. En este caso, en el que se trata de gusanos que permiten en control remoto de las máquinas afectadas, el objetivo parece ser la creación de una red de máquinas que puedan ser controladas al mismo tiempo. Así, pueden llevarse a cabo un gran número de acciones maliciosas: desde la instalación masiva de otros malware, como keyloggers o spyware, hasta la creación de “zombies” destinados al envío de spam”.

Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en: www.activescan.com.ar

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandaantivirus.com.ar/enciclopedia/

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software Argentina
Analia Peñas
Comunicación y Marketing Argentina

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina
www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática