Para su propagación, emplean tres métodos distintos:
– Aprovechando la conocida vulnerabilidad LSASS, publicada y corregida por Microsoft en su boletín de seguridad MS04-011, que se encuentra disponible en http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
– A través de recursos compartidos que estén protegidos por contraseñas fácilmente adivinables, lo que se conoce como “contraseñas débiles”.
– Por correo electrónico. Para ello, envían mensajes adjuntando un fichero con extensión .bat, .exe, .pif, .scr o .zip en el que se encuentra el código de Mytob. Este archivo puede tener nombres como Data, Doc, Document, File, Readme, Text o Body, entre otros.
Las direcciones de correo electrónico a las que se envían las obtienen de ficheros con extensiones .adb,.asp, .dbx, .htm, .php, .pl, .sht y .tbb, que se encuentren almacenados en el sistema, así como en la libreta de direcciones de Windows. Además, falsean la dirección del remitente para evitar que las máquinas infectadas puedan ser localizadas rápidamente.
Las nuevas variantes de Mytob evitan enviarse a determinadas direcciones de correo electrónico, entre las que se incluyen algunas correspondientes a determinadas empresas antivirus, tratando de retrasar su detección por parte de las mismas.
Para evitar ejecutarse más de una vez en el sistema, crean diferentes “mutex”, cuyo nombre varía dependiendo de la versión de Mytob. Así, la versión S crea el mutex ggmutexk2 y la U, ggmutexk1. Por su parte, la versión V lo llama H-E-L-L-B-O-T-2-BY-DIABLO, muy similar al de la versión W, denominado H-E-L-L-B-O-T.
“Como viene siendo habitual últimamente, el autor o autores de estos gusanos tratan de poner en circulación un gran número de códigos maliciosos para aumentar la probabilidad de que una máquina puede verse afectada por alguna de ellas. En este caso, en el que se trata de gusanos que permiten en control remoto de las máquinas afectadas, el objetivo parece ser la creación de una red de máquinas que puedan ser controladas al mismo tiempo. Así, pueden llevarse a cabo un gran número de acciones maliciosas: desde la instalación masiva de otros malware, como keyloggers o spyware, hasta la creación de “zombies” destinados al envío de spam”.
Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en http://www.pandasoftware.es.
Fuente: www.pandasoftware.es
