Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Mytob.MC.1
Descoperit pe data de:17/03/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:108.032 Bytes
MD5:b9beb39484e6742f8d2a1825429e2ca4
Versiune VDF:6.34.00.64

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.xd
   •  TrendMicro: WORM_MYTOB.NF
   •  Sophos: W32/Dolebot-A
   •  Bitdefender: Backdoor.SDBot.AHV

Initial identificat ca:
   •  Worm/SdBot.108032


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\skype32.exe



Sterge copia initiala a virusului.



Este creat fisierul:

%SYSDIR%\rofl.sys Detectat ca: BDS/Aimbot.AF.5

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\Skype
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\skype32.exe
   • "DisplayName"="Skype Messenger"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Skype Messenger Service"



Se adauga in registrii sistemului:

– HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusOverride"=%setarile utilizatorului%
   • "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Vechea valoare:
   • "AUOptions"=%setarile utilizatorului%
   Noua valoare:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   Vechea valoare:
   • "DoNotAllowXPSP2"=%setarile utilizatorului%
   Noua valoare:
   • "DoNotAllowXPSP2"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
Corpul email-ului este unul din textele:

   • Dear %domeniul destinatarului din adresa de email% Member,
     We have temporarily suspended your email account %adresa destinatarului%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %domeniul destinatarului din adresa de email% account.
     Sincerely,The %domeniul expeditorului din adresa de email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului din adresa de email% Antivirus - www.%domeniul expeditorului din adresa de email%

   • Dear user %nume utilizator al adresei destinatarului% ,
     You have successfully updated the password of your %domeniul destinatarului din adresa de email% account.
     If you did not authorize this change or if you need assistance with your account, please contact %domeniul expeditorului din adresa de email% customer service at: %adresa expeditorului%
     Thank you for using%domeniul expeditorului din adresa de email%!
     The %domeniul expeditorului din adresa de email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului din adresa de email% Antivirus - www.%domeniul expeditorului din adresa de email%

   • Dear%domeniul destinatarului din adresa de email% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %domeniul expeditorului din adresa de email% Support Team
     
     +++ Attachment: No Virus found
     +++%domeniul expeditorului din adresa de email% Antivirus - www.%domeniul expeditorului din adresa de email%

   • Dear user %nume utilizator al adresei destinatarului% ,
     It has come to our attention that your %domeniul expeditorului din adresa de email% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %domeniul expeditorului din adresa de email% !
     The %domeniul expeditorului din adresa de email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului din adresa de email% Antivirus - www.%domeniul expeditorului din adresa de email%


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %combinatie de caractere aleatoare%.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • adb; asp; cfg; cgi; dbx; htm; html; jsp; mdb; msg; php; sht; tbb; txt;
      vbe; vbs; xml


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tx.ha**********
Port: 43287
Canal: #dfnctsc
Nick: [P00|USA|%sir de 5 caractere aleatoare%]



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Informatii despre retea
    • Informatii despre procesele sistemului


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • Scaneaza reteaua
    • oprierea sistemului
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Backdoor Servere contactate:
Urmatoarele:
   • http://test.anonproxies.com/cgi-bin/**********
   • http://www21.big.or.jp/~mana_/**********
   • http://www.motor21.net/**********
   • http://www.xyerror.x-y.net/**********
   • http://www21.tok2.com/home/sophia/cgi-bin/**********


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul proces

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Monday, March 13, 2006
Description updated by Irina Boldea on Monday, March 20, 2006

Back . . . .