Nume:Worm/Agobot.97918
Descoperit pe data de:29/08/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:97.918 Bytes
MD5:445882B3C915350B29735DF1C8169ECB
Versiune VDF:6.31.0.204

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Symantec: W32.Mytob.HL@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.bw
   •  TrendMicro: WORM_MYTOB.IJ
   •  F-Secure: W32/Mytob.IQ@mm
   •  VirusBuster: I-Worm.Mytob.JF
   •  Bitdefender: Backdoor.SDBot.E0549F1E


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svchosts.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,69,00,76,\
   • 00,01,00,00,00,01,00,00,00
   • "DeleteFlag"=dword:00000001



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese generate


Subiect:
Unul din urmatoarele:
   • *DETECTED* Online User Violation
   • *WARNING* YOUR EMAIL ACCOUNT IS SUSPENDED
   • Email Account Suspension
   • Important Notification
   • Members Support
   • NOTICE OF ACCOUNT LIMITATION
   • Security measures
   • Warning Message: Your services near to be closed.
   • We have suspended your account
   • You are banned!!!
   • Your Account is Suspended
   • YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS

In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este unul din textele:

   • Dear %recipients domain% Member,
     We have temporarily suspended your email account %contul clientului de email%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %recipients domain% account.
     Sincerely,The %recipients domain% Support Team

   • Dear %recipients domain% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     Virtually yours,
     The %recipients domain% Support Team

   • Some information about your %recipients domain% account is attached.
     The %recipients domain% Support Team


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • information.zip
   • readme.zip

Atasamentul este o copie malware.



Email-ul poate arata ca unul din urmatoarele:




 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .wab; .html; .adb; .tbb; .dbx; .asp; .php; .xml; .cgi; .jsp; .sht;
      .htm


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • accounts
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • "accoun"; "certific"; "listserv"; "ntivi"; "support"; "icrosoft";
      "admin"; "page"; "the.bat"; "gold-certs"; "feste"; "submit"; "not";
      "help"; "service"; "privacy"; "somebody"; "soft"; "contact"; "site";
      "rating"; "bugs"; "you"; "your"; "someone"; "anyone"; "nothing";
      "nobody"; "noone"; "webmaster"; "postmaster"; "samples"; "info";
      "root"; "mozilla"; "utgers.ed"; "tanford.e"; "pgp"; "acketst";
      "secur"; "isc.o"; "isi.e"; "ripe."; "arin."; "sendmail"; "rfc-ed";
      "ietf"; "iana"; "usenet"; "fido"; "linux"; "kernel"; "google";
      "ibm.com"; "fsf."; "gnu"; "mit.e"; "bsd"; "math"; "unix"; "berkeley";
      "foo."; ".mil"; "gov."; ".gov"; "ruslis"; "nodomai"; "mydomai";
      "example"; "inpris"; "borlan"; "sopho"; "panda"; "hotmail"; "msn.";
      "icrosof"; "syma"; "avp"; ".edu"; "abuse"; "abuse"


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand primul octet din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: time.sanalcheh**********.com
Port: 7745
Canal: #zebra
Nick: akira-%random chracter string%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie
    • Directorul Windows


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • Scaneaza reteaua
    • redirectionare porturi
    • repornirea sistemului
    • Porneste rutina de raspandire
    • Se actualizeaza singur
    • Face upload la un fisier

 Backdoor Deschide portul

– %SYSDIR%\svchosts.exe port TCP aleator pentru a functiona ca server FTP.

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • paypal
   • PAYPAL

– Face captura la:
    • Datele introduse de la tastatura

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • paypal.com
   • PAYPAL.COM

– Face captura la:
    • Informatii de logare

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Borland C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PE Pack 1.0

Description inserted by Andrei Gherman on Tuesday, August 30, 2005
Description updated by Andrei Gherman on Wednesday, August 31, 2005

Back . . . .