El virus MyTob, que originalmente era un derivado del MyDoom, llegando por correo electronico, pero que luego ha conjuntado esta tecnica de propagacion con la de los tres grandes sistemas de gusanos vía intrusion por IP, a través de vulnerabilidad RPCDCOM, como la gran familia de los derivados del Blaster, asi como a través de la vulnerabilidad del LSASS, como los derivados del SASSER, y por último con la vulnerabilidad de comparticiones administrativas de windows, como los SDBOT básicos, tiene muchas variantes pero poca difusion, al revés que los NetSky, que utilizando solo la propagacion vía correo electronico, con una sola variante P se lleva el gato al agua, estando nº 1 de propagacion sobre los 122000 virus actualmente conocidos, llegando esta sola variante a ser mas del 50 % de las incidencias viricas de todo el pasado año, y manteniendose durante el 1er trimestre de este año en lo alto del podio, segun se informa en:
Aparte de ello, lo que cabe resaltar de algunas variantes del MyTob, es que como gusano usan el nombre de Taskgmr.exe, parecido pero no igual al administrador de tareas, pero, en alguna de las nuevas, el nombre es TaskMgr.exe y lo copia en el directorio de sistema, con lo cual sobreescribe el administrador de tareas de windows, perdiendose éste, aunque se elimine el virus, siendo importante reinstalarlo, no solo para poder ver las tareas en proceso, sino porque algunos antivirus como las series 8 y 9 HOME de McAfee, sin el TaskMgr.exe no se actualizan, y ello puede resultar fatídico.
Hemos creado la nueva version del Elitriip 1.17 que no solo controla las variantes del MyTob hasta la variante AL, sino que si detecta la existencia de dicho TaskMgr gusano o sospechoso, pide muestra para su analisis y poder actuar en consecuencia, avisando al usuario de que instale de nuevo el TaskMgr original de windows ante la pérdida del mismo por la accion de dicho MyTob.
El número de incidencias del MyTob es relativamente bajo, no habiendo recibido todavía ninguna muestra del que usa, como gusano, el TaskMgr.exe, pero ante la informacion de su existencia, cabe tenerlo presente, para poder obrar en consecuencia.
saludos
ms, 12-04-2005
msc hotline sat Virus Research Engineer