Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Agobot.97918
La date de la dcouverte:13/12/2012
Type:Ver
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:97.918 Octets
Somme de contrle MD5:445882B3C915350B29735DF1C8169ECB
Version VDF:7.11.53.216

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Mytob.HL@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.bw
   •  TrendMicro: WORM_MYTOB.IJ
   •  F-Secure: W32/Mytob.IQ@mm
   •  VirusBuster: I-Worm.Mytob.JF
   •  Bitdefender: Backdoor.SDBot.E0549F1E


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\svchosts.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,69,00,76,\
   • 00,01,00,00,00,01,00,00,00
   • "DeleteFlag"=dword:00000001



Les cls de registre suivantes sont ajoute:

[HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
– Les adresses cres


Sujet:
Un des suivants:
   • *DETECTED* Online User Violation
   • *WARNING* YOUR EMAIL ACCOUNT IS SUSPENDED
   • Email Account Suspension
   • Important Notification
   • Members Support
   • NOTICE OF ACCOUNT LIMITATION
   • Security measures
   • Warning Message: Your services near to be closed.
   • We have suspended your account
   • You are banned!!!
   • Your Account is Suspended
   • YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS

En outre le sujet peut contenir des lettres alatoires.


Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • Dear %recipients domain% Member,
     We have temporarily suspended your email account %le compte de l'application d'email%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %recipients domain% account.
     Sincerely,The %recipients domain% Support Team

   • Dear %recipients domain% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     Virtually yours,
     The %recipients domain% Support Team

   • Some information about your %recipients domain% account is attached.
     The %recipients domain% Support Team


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • information.zip
   • readme.zip

L'attachement est une copie du malware lui-mme.



L'email pourrait ressembler un des suivants:




 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .html; .adb; .tbb; .dbx; .asp; .php; .xml; .cgi; .jsp; .sht;
      .htm


La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • accounts
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Il combine le rsultat avec les domaines trouvs dans les fichiers qui ont t prcdemment recherchs pour des adresses.


La cration des adresses pour le champ :
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Il combine le rsultat avec les domaines trouvs dans les fichiers qui ont t prcdemment recherchs pour des adresses.


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • "accoun"; "certific"; "listserv"; "ntivi"; "support"; "icrosoft";
      "admin"; "page"; "the.bat"; "gold-certs"; "feste"; "submit"; "not";
      "help"; "service"; "privacy"; "somebody"; "soft"; "contact"; "site";
      "rating"; "bugs"; "you"; "your"; "someone"; "anyone"; "nothing";
      "nobody"; "noone"; "webmaster"; "postmaster"; "samples"; "info";
      "root"; "mozilla"; "utgers.ed"; "tanford.e"; "pgp"; "acketst";
      "secur"; "isc.o"; "isi.e"; "ripe."; "arin."; "sendmail"; "rfc-ed";
      "ietf"; "iana"; "usenet"; "fido"; "linux"; "kernel"; "google";
      "ibm.com"; "fsf."; "gnu"; "mit.e"; "bsd"; "math"; "unix"; "berkeley";
      "foo."; ".mil"; "gov."; ".gov"; "ruslis"; "nodomai"; "mydomai";
      "example"; "inpris"; "borlan"; "sopho"; "panda"; "hotmail"; "msn.";
      "icrosof"; "syma"; "avp"; ".edu"; "abuse"; "abuse"


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: time.sanalcheh**********.com
Port: 7745
Canal: #zebra
Pseudonyme: akira-%random chracter string%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Taille de mmoire
    • Rpertoire de Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
     Lance des attaques DDoS UDP
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • Activer les partages rseau
    • Excuter un fichier
     Scanner le rseau
    • Oprer la redirection d'un certain port
    • Redmarrer le systme
     Dmarrer une routine de propagation
     Se mettre jour tout seul
    • Charger un fichier

 Porte drobe Le port suivant est ouvert:

%SYSDIR%\svchosts.exe sur un port TCP alatoire afin de fournir un serveur FTP

 Vol d'informations Il essaie de voler l'information suivante:

Une routine de journalisation est commenc aprs que les chanes de caractres suivantes soient tapes:
   • paypal
   • PAYPAL

– Il capture:
     Frappes de touche

Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient une des sous chanes de caractres suivantes dans l'URL.
   • paypal.com
   • PAYPAL.COM

 Il capture:
     Information du compte

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Borland C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • PE Pack 1.0

Description insérée par Andrei Gherman le mardi 30 août 2005
Description mise à jour par Andrei Gherman le mercredi 31 août 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.