Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mytob.AD
La date de la dcouverte:13/12/2012
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:49.152 Octets
Somme de contrle MD5:057e1a0Ec4443f5eeb83d9e44777c56f
Version VDF:7.11.53.216

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Net-Worm.Win32.Mytob.u
   •  TrendMicro: WORM_MYTOB.AC
   •  Sophos: W32/MyDoom-AJ
   •  Grisoft: I-Worm/Mytob.AA
   •  VirusBuster: I-Worm.Mytob.AC
   •  Bitdefender: Win32.Worm.Mytob.AC


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il bloque l'accs aux sites web de scurit
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\rnathchk.exe
   • C:\pic.scr
   • C:\see_this!.pif
   • C:\my_picture.scr

 Registre Les cls suivantes sont en permanence ajoutes aux registres, dans une boucle infinie, afin de lancer les processus aprs le redmarrage.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "RealPlayer Ath Check" = "rnathchk.exe"



Les cls de registre suivantes sont ajoute:

[HKCU\Software\Microsoft\OLE]
   • "RealPlayer Ath Check" = "rnathchk.exe"

[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "RealPlayer Ath Check" = "rnathchk.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses cres


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • MAIL TRANSACTION FAILED
   • SERVER REPORT
   • Status

En outre le sujet peut contenir des lettres alatoires.


Corps:
Le corps de l'email est une des lignes:
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


Pice jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Chane de caractres alatoire:
   • data
   • doc
   • document
   • file
   • message
   • body
   • readme
   • test
   • text
   • %chane de caractres alatoire%

    L'extension du fichier est une des suivantes:
   • BAT
   • CMD
   • EXE
   • PIF
   • SCR
   • ZIP

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouves dans les fichiers du systmes.

Le domaine est un de ceux qui suivent:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com


La cration des adresses pour le champ :
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouves dans les fichiers du systmes.

Le domaine est un de ceux qui suivent:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • avp; syma; icrosof; panda; sopho; borlan; inpris; example; mydomai;
      nodomai; ruslis; .gov; gov.; .mil; foo.; berkeley; unix; math; bsd;
      mit.e; gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana;
      ietf; rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst;
      pgp; tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; bugs; rating; site; contact; soft; somebody; privacy; service;
      help; not; submit; feste; gold-certs; the.bat; page; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; google; accoun;
      spm; fcnz; www; secur; abuse


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • gate
   • ns
   • mail
   • mx

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS04-011 (LSASS Vulnerability)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: spm.slo-partija.info
Port: 48275
Le mot de passe du serveur: 57284
Canal: #hb2
Pseudonyme: [I]%chane de caractres alatoire%
Mot de passe: sp4m

Serveur: spm.gobice.net
Port: 48275
Le mot de passe du serveur: 57284
Canal: #hb2
Pseudonyme: [I]%chane de caractres alatoire%
Mot de passe: sp4m

Serveur: egwf.wegberobpk.info
Port: 48275
Le mot de passe du serveur: 57284
Canal: #hb2
Pseudonyme: [I]%chane de caractres alatoire%
Mot de passe: sp4m



 Ce Malware a l'habilit de ramasser et d'envoyer l'information suivante:
    • Le temps de fonctionnement du Malware


 Ensuite il a la capacit d'oprer des actions tel que:
    • Tlcharger un fichier
    • Excuter un fichier
    • Oprer un attaque DDoS
     Scanner le rseau

 Htes Le fichier hte est modifi, comme il est expliqu:

Dans ce cas les entres existantes sont crases

L'accs aux liens URL suivants est effectivement bloqu :
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.microsoft.com
   • www.trendmicro.com
   • metalhead2005.info
   • irc.blackcarder.net
   • d66.myleftnut.info




Le fichier hte modifi ressemblera ceci:


 Informations divers Mutex:
Il cre le Mutex suivant:
   • I_FUCK_DEAD_PPL

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Victor Tone le mardi 15 novembre 2005
Description mise à jour par Victor Tone le mercredi 23 novembre 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.