Mundo descargas   Mundo descargas
Mundo descargas Elige el foro que te interese y recuerda se amable y respetuoso ayuda si puedes ,estos foros son para ayudarnos unos a otros dejar preguntas descargas Emule
 
 Registrarse   Mundo   FAQ   Buscar   Miembros   Grupos de Usuarios   Login 

Foros de discusión -> Virus Troyanos spywere -> Mytob.TQ. Instala BOT y controla el PC vía IRC
Publicar nuevo tema  Responder al tema Ver tema anterior :: Ver tema siguiente 
  Mensaje Mytob.TQ. Instala BOT y controla el PC vía IRC - Publicado: Dom May 28, 2006 6:07 pm Responder citando  
Mytob.TQ
Invitado




Nombre: Mytob.TQ
Nombre NOD32: Win32/Mytob.TQ
Tipo: Gusano de Internet
Alias: Mytob.TQ, W32/Mytob.gen@MM, Win32.HLLW.MyBot, Win32/Mytob.TQ
Fecha: 27/may/06
Plataforma: Windows 32-bit

Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.

También se propaga utilizando las siguientes vulnerabilidades:

MS04-007 ASN.1 de Windows: Ejecución de código (828028)


MS04-011 Actualización crítica de Windows (835732)


Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\svchosts.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

El gusano crea el siguiente servicio:

Nombre de servicio: shit
Nombre para mostrar: shit
Ruta de acceso al ejecutable: [camino]\skype32.exe
Tipo: Automático

Para ello, genera la siguiente entrada en el registro:

HKLM\SYSTEM\CurrentControlSet\Services\shit

También crea las siguientes entradas para autoejecutarse en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Cnfg32 = svchosts.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32 Cnfg32 = svchosts.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Cnfg32 = svchosts.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Cnfg32 = svchosts.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Win32 Cnfg32 = svchosts.exe

El gusano se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.

Los mensajes enviados tienen las siguientes características:

De: [dirección falsa]

Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

adam
alex
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debbyhelen
frank
fred
george
jack
james
jane
jerry
jim
jimmy
joe
john
jose
josh
julie
kevin
leo
linda
maria
mary
matt
michael
michael
mike
paul
peter
ray
robert
sales
sam
sandra
serg
smith
stan
steve
ted
tom

También puede seleccionar uno de los siguientes nombres como falso remitente, más el dominio del destinatario:

admin
administrator
info
mail
register
service
support
webmaster

Asunto: [uno de los siguientes]

*DETECTED* Online User Violation
*WARNING* Your email account is suspended
[caracteres al azar]
Email Account Suspension
Important Notification
Members Support
Notice of account limitation
Security measures
Warning Message: Your services near to be closed.
We have suspended your account
You are banned!!!
Your Account is Suspended
Your Account is Suspended For Security Reasons

Texto del mensaje: [uno de los siguientes]

Dear user [usuario],
You have successfully updated the password of your
[dominio] account.
If you did not authorize this change or if you need
assistance with your account, please contact [dominio]
customer service at: [dirección]
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ Antivirus - www.[dominio]

Dear user [usuario],
It has come to our attention that your [dominio] User
Profile ( x ) records are out of date. For further details
see the attached document.
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]

Dear [dominio] Member,
We have temporarily suspended your email account
[dirección].
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e.
change of address).
2. Submiting invalid information during the initial sign up
process.
3. An innability to accurately verify your selected option
of subscription due to an internal error within our
processors.
See the details to reactivate your [dominio] account.
Sincerely,The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]

Dear [dominio] Member,
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experience and confirm the attached document so you will
not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice
but to cancel your membership.
Virtually yours,
The [dominio] Support Team
+++ Attachment: No Virus found
+++ [dominio] Antivirus - www.[dominio]

Datos adjuntos: [uno de los siguientes]

[caracteres al azar].???
accepted-password.???
account-details.???
account-info.???
account-password.???
account-report.???
approved-password.???
document.???
email-details.???
email-password.???
important-details.???
new-password.???
password.???
readme.???
updated-password.???
 
Volver arriba  

  Foros de discusión -> Virus Troyanos spywere -> Mytob.TQ. Instala BOT y controla el PC vía IRC Todas las horas son GMT  
Página 1 de 1  
Puede publicar nuevos temas en este foro
Puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro
   
  
 Publicar nuevo tema  Responder al tema