Nume:Worm/Domwoot.A
Descoperit pe data de:02/04/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:86.681 Bytes
MD5:430720d43f3cbc50ebff844ef45211f3
Versiune VDF:6.34.00.127

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Kaspersky: Net-Worm.Win32.Domwoot.a
   •  Bitdefender: Win32.Worm.Mytob.X.Gen


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svchosts.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):"%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valori hex%
   • "DeleteFlag"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended

In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este unul din textele:

   • Dear %domeniul destinatarului din adresa de email% Member,
     
     We have temporarily suspended your email account %adresa destinatarului%.
     
     This might be due to either of the following reasons:
     
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %domeniul destinatarului din adresa de email% account.
     
     Sincerely,The %domeniul destinatarului din adresa de email% Support Team

   • Dear %domeniul destinatarului din adresa de email% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     Virtually yours,
     The %domeniul destinatarului din adresa de email% Support Team

   • Some information about your %domeniul destinatarului din adresa de email% account is attached.
     
     The %domeniul destinatarului din adresa de email% Support Team


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

–  Sir de caractere aleator
   • readme
   • document
   • account-report
   • account-info
   • account-details
   • email-details
   • important-details
   • information

    Extensia fisierului este una din urmatoarele:
   • zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • admin
   • info
   • service
   • support
   • webmaster
   • register
   • mail
   • accounts
   • administrator

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      fcz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      hotmail; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o;
      isi.e; kernel; linux; listserv; math; mit.e; mozilla; msn.; mydomai;
      nobody; nodomai; noone; not; nothing; ntivi; page; panda; pgp;
      postmaster; privacy; rating; rfc-ed; ripe.; root; ruslis; samples;
      secur; sendmail; service; site; soft; somebody; someone; sopho; spam;
      submit; support; syma; tanford.e; the.bat; unix; usenet; utgers.ed;
      webmaster; www; you; your


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.acidphreaks.**********
Port: 6667
Canal: #g4



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Cantitatea de memorie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • Scaneaza reteaua
    • redirectionare porturi
    • repornirea sistemului
    • trimitere email-uri
    • Face upload la un fisier

 Backdoor Deschide portul

– svchosts.exe port TCP aleator pentru a functiona ca server FTP.

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Monitorizeaza reteaua folosind un sniffer si cauta urmatoarele siruri de caractere:
   • :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
      :!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
      PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
      card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
      login=; password=; passwd=; PAYPAL; paypal

 Alte informatii Network Sharing:
Se sterg urmatoarele share-uri:
   • admin$
   • ipc$
   • d$
   • c$


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • nspack

Description inserted by Iulia Diaconescu on Monday, April 3, 2006
Description updated by Iulia Diaconescu on Monday, April 3, 2006

Back . . . .