MADRID: PandaLabs ha detectado -en un intervalo de pocas horas- la aparición de cuatro nuevas variantes del gusano Mytob, denominadas S, U, V y W.
Usando el proceso de backdoor, que no se hace de forma directa, sino a través de dos servidores llamados 19.xxor.biz (en el caso de las variantes S, U y W), e irc.blackcarder.net, que es el empleado por Mytob.V. De esta forma, el autor de estos códigos maliciosos puede controlar cualquiera máquina infectada por alguna de las variantes de Mytob.
Uno de los principales peligros de estos códigos maliciosos reside en su capacidad para modificar el fichero hosts del sistema. De esta manera, evitan que los usuarios puedan conectarse a las páginas web de determinados fabricantes de antivirus. De esta manera, imposibilitan la descarga de las actualizaciones necesarias para eliminar a los mencionados gusanos.
Para su propagación, emplean tres métodos distintos:
– Aprovechando la conocida vulnerabilidad LSASS.
– A través de recursos compartidos que estén protegidos por contraseñas fácilmente adivinables, lo que se conoce como contraseñas débiles.
– Por correo electrónico. Para ello, envían mensajes adjuntando un fichero con extensión .bat, .exe, .pif, .scr o .zip en el que se encuentra el código de Mytob. Este archivo puede tener nombres como Data, Doc, Document, File, Readme, Text o Body, entre otros.
Las direcciones de correo electrónico a las que se envían las obtienen de ficheros con extensiones .adb,.asp, .dbx, .htm, .php, .pl, .sht y .tbb, que se encuentren almacenados en el sistema, así como en la libreta de direcciones de Windows. Además, falsean la dirección del remitente para evitar que las máquinas infectadas puedan ser localizadas rápidamente.
Para evitar ejecutarse más de una vez en el sistema, crean diferentes mutex, cuyo nombre varía dependiendo de la versión de Mytob. Así, la versión S crea el mutex ggmutexk2 y la U, ggmutexk1. Por su parte, la versión V lo llama H-E-L-L-B-O-T-2-BY-DIABLO, muy similar al de la versión W, denominado H-E-L-L-B-O-T.
