Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Mytob.KH
Descoperit pe data de:09/10/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:37.888 Bytes
MD5:641f2da941507529f31d86c2a2ba0A06
Versiune VDF:6.32.00.69

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Email-Worm.Win32.Fanbot.f
   •  F-Secure: W32/Mytob.MT@mm
   •  Grisoft: I-Worm/Mytob.MC
   •  VirusBuster: Email-Worm.Win32.Fanbot.f
   •  Bitdefender: Win32.Fanbot.F@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Inchide aplicatiile de securitate
   • Creeaza un fisier
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer


Imediat dupa lansarea in executie, pe ecran este afisat:

Imaginea a fost editata in scop grafic.

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%valori hex%.tmp



Sterge copia initiala a virusului.



Sterge urmatoarele fisiere:
   • %TEMPDIR%\tmp%valori hex%.tmp
   • %TEMPDIR%\Setup\CXMO%numar%.exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



Este creat fisierul:

– C:\Shell.sys Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • fuck!!!
     The Active Windows Title: %procese care au ferestre vizibile%

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Expeditorul email-ului este unul din urmatorii:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

Uneori subiectul poate lipsi.
In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Este alcatuit printr-o expresie regulata.
–  Uneori corpul email-ului este gol.
–  Uneori poate contine caractere aleatoare.

 
Corpul email-ului este unul din textele:

   • Dear user %numele utilizatorului de cont email%,
     It has come to our attention that your receiver's %domeniul expeditorului% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %domeniul expeditorului%!
     The %domeniul expeditorului% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului% Antivirus - www.%domeniul expeditorului%

   • Dear %domeniul expeditorului% Member,
     We have temporarily suspended your email account %adresa destinatarului%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %domeniul expeditorului% account.
     Sincerely,The %domeniul expeditorului% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului% Antivirus - www.%domeniul expeditorului%

   • Dear %domeniul expeditorului% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %domeniul expeditorului%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %domeniul expeditorului% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului% Antivirus - www.%domeniul expeditorului%

   • Dear user %numele utilizatorului de cont email%,
     You have successfully updated the password of your %domeniul expeditorului%account.
     If you did not authorize this change or if you need assistance with your account, please contact %domeniul expeditorului% customer service at: %adresa expeditorului%
     Thank you for using %domeniul expeditorului%!
     The %domeniul expeditorului% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domeniul expeditorului% Antivirus - www.%domeniul expeditorului%


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

Atasamentul este o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: SmallPhantom.3322.**********
Canal: #xiaoyu

Server: SmallPhantom.meibu.**********
Canal: #xiaoyu



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • ID-ul platformei
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Activitatea utilizatorilor locali
    • Directorul Windows
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • repornirea sistemului
    • trimitere email-uri
    • oprierea sistemului
    • Porneste keylog
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este blocat:
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




Fisierul hosts modificat va arata astfel:


 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • [Phantom]

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • LCC WIN32 1.x

Description inserted by Monica Ghitun on Friday, November 23, 2007
Description updated by Andrei Gherman on Tuesday, November 27, 2007

Back . . . .