Nume:Worm/Mydoom.BC
Descoperit pe data de:01/03/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:48.766 Bytes
MD5:27ab71805c9fa8447c787e50843eceb5
Versiune IVDF:6.30.00.6 - Tuesday, March 1, 2005

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Mytob.gen
   •  Sophos: W32/Mytob-C
   •  Panda: W32/Mytob.C.worm
   •  Eset: Win32/Mytob.D
   •  Bitdefender: Worm.Generic.82094


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wfdmgr.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "LSA"="wfdmgr.exe"



Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "LSA"="wfdmgr.exe"

– [HKCU\Software\Microsoft\OLE]
   • "LSA"="wfdmgr.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Noua valoare:
   • "LSA"="wfdmgr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Noua valoare:
   • "LSA"="wfdmgr.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:


De la:
Adresa este falsificata.
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Corpul email-ului:
Corpul email-ului este unul din textele:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    Urmat de una din urmatoarele extensii false:
   • bat
   • cmd
   • exe
   • scr
   • pif

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Creeaza adrese pentru campul expeditorului si al destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Server MX:
Se poate conecta la unul dintre serverele MX:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand primul octet din propria adresa. Apoi incearca sa contacteze adresele create.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.bl**********.net
Port: 6667
Canal: #d3
Nick: %combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • executarea unui fisier
    • Scaneaza reteaua
    • Se actualizeaza singur

 Backdoor port TCP aleator pentru a functiona ca server FTP.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, March 5, 2010
Description updated by Petre Galan on Friday, March 5, 2010

Back . . . .