Nom:Worm/Mytob.IN.2
La date de la découverte:31/08/2005
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:48.766 Octets
Somme de contrôle MD5:27AB71805C9FA8447C787E50843ECEB5
Version VDF:6.31.01.50

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Mytob.C@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.c
   •  Bitdefender: Worm.Mytob.C


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wfdmgr.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "LSA"="wfdmgr.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • "LSA"="wfdmgr.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "LSA"="wfdmgr.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "LSA"="wfdmgr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "LSA"="wfdmgr.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses créées


Sujet:
Un des suivants:
   • hello
   • hi
   • error
   • status
   • test
   • Mail Transaction Failed
   • Mail Delivery System
   • SERVER REPORT

Dans certains cas, le sujet pourrait également être vide.
En outre le sujet peut contenir des lettres aléatoires.


Corps:
– Dans certains cas, il peut être vide.
– Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est une des lignes:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • Mail transaction failed. Partial message is available.
   • test
   • The message contains Unicode characters and has been sent as a binary attachment.


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab
   • .adb
   • .tbb
   • .dbx
   • .asp
   • .php
   • .sht
   • .htm


La création des adresses pour le champ À:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • "accoun"; "certific"; "listserv"; "ntivi"; "support"; "icrosoft";
      "admin"; "page"; "the.bat"; "gold-certs"; "feste"; "submit"; "not";
      "help"; "service"; "privacy"; "somebody"; "soft"; "contact"; "site";
      "rating"; "bugs"; "you"; "your"; "someone"; "anyone"; "nothing";
      "nobody"; "noone"; "webmaster"; "postmaster"; "samples"; "info";
      "root"


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.black**********.net
Port: 6667
Canal: #d3
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: yakuza



– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Le temps de fonctionnement du Malware


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier

 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\wfdmgr.exe sur un port TCP aléatoire afin de fournir un serveur FTP

 Informations divers Mutex:
Il crée le Mutex suivant:
   • D66

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • Neolite
   • UPX

Description insérée par Andrei Gherman le mercredi 31 août 2005
Description mise à jour par Andrei Ivanes le mardi 14 mars 2006

Retour . . . .