Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/mytob_im@mm

w32/mytob_im@mm

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/mytob_im@mm

w32.mytob.im@mm
tipo: gusano de email
tama?o: 83,489 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 31/07/2005
w32/mytob.im@mm, es un gusano de envi? masivo de e-mail, utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en el computador atacado y en archivos con las siguientes extensiones, .adb, .asp, .cgi, .dbx, .htm, .html, .jsp, .php, .sht, .tbb, .xml.
tambi?n se difunde a trav?s de la red explotando la vulnerabilidad de microsoft windows local security authority service remote buffer overflow, descrito en el bolet?n de seguridad ms04-011 .
el gusano evita enviarse a direcciones que contengan los siguientes textos:
abuse accoun admin administrator anyone bsd bugs certific contact fcnz feste gold-certs google help icrosoft info linux listserv mail nobody noone not nothing ntivi page postmaster privacy rating register root samples secur service site soft somebody someone spm submit support the.bat unix webmaster www utgers.ed you your .gov .mil acketst arin. avp berkeley borlan bsd example fido foo. fsf. gnu google gov. hotmail iana ibm.com icrosof ietf inpris isc.o isi.e kernel linux math mit.e mozilla msn. mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho syma tanford.e unix usenet caracter?sticas del mensaje de e-mail:
asunto: [variable, puede ser cualquiera de las siguientes frases:]
notice of account limitation email account suspension security measures you are banned!!! we have suspended your account members support important notification warning message: your services near to be closed. your account is suspended for security reasons *detected* online user violation *warning* your email account is suspended your account is suspended cuerpo:
dear [d ominio] member,
we have temporarily [ removido] support team
-----------------------------------
dear [d ominio] member,
your e-mail acc [ removido] team
-----------------------------------
some information about your [d ominio] account is attached.
the [d ominio] support team
-----------------------------------
archivo adjunto: [variable, seguido de la extensi?n .bat, .cmd, .exe, .pif, .scr, o .zip]
account-details.zip account-info.zip account-report.zip document.zip email-details.zip important-details.zip information.zip readme.zip ------------------
cuando el gusano se ejecuta se copia a si mismo como:
system \wrmana32.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
seguidamente adiciona algunas entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windows netdde= system \wrmana32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runonce
windows netdde= system \wrmana32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
windows netdde= system \wrmana32.exe
hkey_users\.default\\software\microsoft\windows\currentversion\run
windows netdde= system \wrmana32.exe
hkey_users\.default\\software\microsoft\windows\currentversion\runonce
windows netdde= system \wrmana32.exe
hkey_current_users\software\microsoft\windows\currentversion\runonce
windows netdde= system \wrmana32.exe
hkey_current_users\software\microsoft\windows\currentversion\run
windows netdde= system \wrmana32.exe
tambi?n crea las siguientes entradas en el registro:
hkey_local_machine\system\currentcontrolset\services\shit
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit
adem?s crea las siguientes entradas en el registro:
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000\control
*newlycreated*=0x00000000
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000\control
activeservice=shit
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000
legacy=1
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000
configflags=0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000
class=legacydriver
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000
classguid={8ecc055d-047f-11d1-a537-0000f8753ed1}
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000
devicedesc=windows netdde
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit\0000
service=shit
hkey_local_machine\system\currentcontrolset\enum\root\legacy_shit
nextinstance=0x00000001
hkey_local_machine\system\currentcontrolset\services\shit\enum
0=root\legacy_shit\0000
hkey_local_machine\system\currentcontrolset\services\shit\enum
count=1
hkey_local_machine\system\currentcontrolset\services\shit\enum
nextinstance=1
hkey_local_machine\system\currentcontrolset\services\shit
type=20
hkey_local_machine\system\currentcontrolset\services\shit
start=4
hkey_local_machine\system\currentcontrolset\services\shit
errorcontrol=1
hkey_local_machine\system\currentcontrolset\services\shit
imagepath=c:\winnt\system32\wrmana32.exe -netsvcs
hkey_local_machine\system\currentcontrolset\services\shit
displayname=windows netdde
hkey_local_machine\system\currentcontrolset\services\shit
objectname =localsystem
hkey_local_machine\system\currentcontrolset\services\shit
failureactions=ff ff ff ff 00 00 00 00 00 00 00 00 01 00 00 00 00 07 09 00 01 00 00 00 01 00 00 00
hkey_local_machine\system\currentcontrolset\services\shit
deleteflag=1
hkey_local_machine\system\currentcontrolset\services\shit\security
security=01 00 14 80 a0 00 00 00 ac 00 00 00 14 00 00 00 30 00 00 00 02 00 1c 00 01 00 00 00 02 80 14 00 ff 01 0f 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 70 00 04 00 00 00 00 00 18 00 fd 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 a5 4e 00 0c 00 00 1c 00 ff 01 0f 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 29 6b 99 de 00 00 18 00 8d 01 02 00 01 01 00 00 00 00 00 05 0b 00 00 00 20 02 00 00 00 00 1c 00 fd 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 29 6b 99 de 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
finalmente intentar? conectarse a un servidor remoto mystery.m0rtus.info a trav?s del puerto tcp 6667, si logra establecer comunicaci?n queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar lo siguiente:
descargar y ejecutar archivos. enviar informaci?n del computador atacado. realizar ataques de denegaci?n de servicio (dos) iniciar un servidor proxy iniciar un servidor ftp redireccionamiento de puertos. remover, actualizar o finalizar al gusano.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo