Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mytob.KU
La date de la dcouverte:16/10/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:44.032 Octets
Somme de contrle MD5:681c76891f755ce893930C5afb670840
Version VDF:6.32.00.89

 Gnral Mthode de propagation:
   • Email
   • Le rseau local
   • Peer to Peer


Les alias:
   •  Kaspersky: Email-Worm.Win32.Fanbot.j
   •  TrendMicro: WORM_FANBOT.C
   •  Sophos: W32/Fanbot-H
   •  Grisoft: I-Worm/Mytob.M
   •  Bitdefender: Win32.Fanbot.J@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il bloque l'accs aux sites web de scurit
   • Arrt les applications de scurit
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\remote.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\RpcRemotes
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."



La cl de registre suivante est ajoute:

HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
   • "Ph4nt0m" = "Ph4nt0m"



Les cls de registre suivantes sont changes:

Dsactive le Pare-feu du Windows:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   L'ancienne valeur:
   • "Start" =%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start" = dword:00000004

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
   L'ancienne valeur:
   • "Start"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start" = dword:00000004

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses cres


Sujet:
Un des suivants:
   • *DETECTED* Online User Violation.
   • Email Account Suspension.
   • Hello. Were Skype and weve got something we would like to share with you.
   • Important Notification!
   • Members Support.
   • Notice of account limitation.
   • Security measures.
   • Share Skype.
   • Skype for Windows 1.4 - Have you got the new Skype?
   • Warning Message: Your services near to be closed.
   • What is Skype?
   • Your Account is Suspended For Security Reasons.
   • Your Account is Suspended.



Corps:
Le corps de l'email est un des suivants:

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire% ,
     It has come to our attention that your %le nom de domaine de l'expditeur de l'adresse email% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %le nom de domaine de l'expditeur de l'adresse email% !
     The %le nom de domaine de l'expditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le nom de domaine de l'expditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expditeur de l'adresse email%

   • Dear%le nom de domaine du destinataire de l'adresse email% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %le nom de domaine de l'expditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus found
     +++%le nom de domaine de l'expditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expditeur de l'adresse email%

   • Dear %le nom de domaine du destinataire de l'adresse email% Member,
     We have temporarily suspended your email account %l'adresse email du destinataire%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %le nom de domaine du destinataire de l'adresse email% account.
     Sincerely,The %le nom de domaine de l'expditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le nom de domaine de l'expditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expditeur de l'adresse email%

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire% ,
     You have successfully updated the password of your %le nom de domaine du destinataire de l'adresse email% account.
     If you did not authorize this change or if you need assistance with your account, please contact %le nom de domaine de l'expditeur de l'adresse email% customer service at: %Adresse email de lexpe?diteur%
     Thank you for using%le nom de domaine de l'expditeur de l'adresse email%!
     The %le nom de domaine de l'expditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le nom de domaine de l'expditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expditeur de l'adresse email%

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire%,
     Skype is a little piece of software that lets you talk over the Internet to anyone, anywhere for free.
     And it just got even better download the latest version of Skype:
     Our call quality is the best ever for talking, laughing and sharing stories.
     You can forward calls on to mobiles, landlines and other Skype Names.
     Make calls instantly from Outlook email or Internet Explorer with our new toolbars.
     Personalise your Skype play around with sounds, ringtones and pictures to show the world who you are.
     For further details see the attached document.
     
     This message contains graphics. If you do not see the graphics, click here to view.
     Legal information


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • readme.zip
   • Share Skype.zip
   • Skype for Windows 1.4.zip
   • Skype.zip
   • Skype-details.zip
   • Skype-document.zip
   • Skype-info.zip
   • Skype-stuffs.zip

L'attachement est une copie du malware lui-mme.



L'email pourrait ressembler un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • adb; asp; cfg; cgi; dbx; ht; htm; html; jsp; mdb; msg; php; sht; tbb;
      txt; vbe; vbs; xml


La cration des adresses pour le champ :
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • noreply
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


   Il cherche les rpertoires qui contient une des sous chane de caractres suivantes:
   • bear
   • donkey
   • download
   • htdocs
   • icq
   • incoming
   • kazaa
   • lime
   • morpheus
   • mule
   • share
   • sharing
   • soft
   • upload

   En cas de succs, les fichiers suivants sont crs:
   • Copies itself with the names; XXX hardcore pics.jpg.exe; WinXP eBook
      newest.doc.exe; Windows XP crack.exe; Windows 2003 crack.exe; Windows
      2000 Sourcecode.doc.exe; WinAmp 13 full.exe; Win Longhorn re.exe; Win
      Longhorn.doc.exe; Winxp_Crack.exe; Winamp5.exe; Visual Studio Net
      Crack all.exe; virii.scr; Ulead Keygen 2004.exe; UltraEdit-32 12.01 +
      Cracker.exe; The Sims 4 beta.exe; Teen Porn 15.jpg.pif; TouchNet
      Browser 1.29b.exe; Star Office 9.exe; Smashing the stack full.rtf.exe;
      Serials edition.txt.exe; Screensaver2.scr; Saddam Hussein.jpg.exe;
      Serials 2005_New.exe; Strip-Girl-2.0b.exe; Super Dollfie.pif;
      strippoker.exe; Serial.txt.exe; Ringtones.mp3.exe; Ringtones.doc.exe;
      RFC compilation.doc.exe; RealPlayer_New.exe; rfc compilation.doc.exe;
      Rain.scr; Porno Screensaver britney.scr; Partitionsmagic 10 beta.exe;
      programming basics.doc.exe; porno.scr; Opera 11.exe; Office_Crack.exe;
      Norton Antivirus 2005 beta.exe; netsky source code.scr; nuke2004.exe;
      MS Service Pack 6.exe; Microsoft WinXP Crack full.exe; Microsoft
      Office 2003 Crack best.exe; Matrix.mpg.exe; Magix Video Deluxe 5
      beta.exe; max payne 2.crack.exe; Maxthon_New.exe; MSN7-final.exe;
      matrix.scr; Lightwave 9 Update.exe; Learn Programming 2004.doc.exe;
      Keygen 4 all new.exe; Kazaa new.exe; Kazaa Lite 4.0 new.exe;
      Kula.jpg.pif; Kula.scr; 'K.jpg.pif; Internet Explorer 9 setup.exe;
      icq2005-final.exe; How to hack new.doc.exe; Harry Potter.doc.exe;
      Harry Potter game.exe; Harry Potter e book.doc.exe; Harry Potter all
      e.book.doc.exe; Harry Potter 5.mpg.exe; Harry Potter 1-6 book.txt.exe;
      how to hack.doc.exe; Gimp 1.8 Full with Key.exe; Full album
      all.mp3.pif; firefox-1.6a1.en-US.win32.installer.exe; Eminem.mp3.exe;
      Eminem Spears porn.jpg.exe; Eminem Song text archive.doc.exe; Eminem
      Sexy archive.doc.exe; Eminem sex xxx.jpg.exe; Eminem Poster.jpg.exe;
      Eminem full album.mp3.exe; Eminem blowjob.jpg.exe; E-Book
      Archive2.rtf.exe; eminem - lick my pussy.mp3.pif;
      e-book.archive.doc.exe; e.book.doc.exe; Doom 3 release 2.exe; DivX 8.0
      final.exe; Dictionary English 2004 - France.doc.exe; Dark Angels
      new.pif; dolly_buster.jpg.pif; dictionary.doc.exe; dcom_patches.exe;
      doom2.doc.pif; Cracks & Warez Archiv.exe; Cloning.doc.exe; Clone DVD
      6.exe; cool screensaver.scr; Britney Spears.mp3.exe; Britney
      Spears.jpg.exe; Britney Spears Song text archive.doc.exe; Britney
      Spears Sexy archive.doc.exe; Britney Spears porn.jpg.exe; Britney
      Spears full album.mp3.exe; Britney Spears fuck.jpg.exe; Britney Spears
      cumshot.jpg.exe; Britney Spears blowjob.jpg.exe; Britney Spears and
      Eminem porn.jpg.exe; Britney sex xxx.jpg.exe; Best Matrix Screensaver
      new.scr; BlackIce_Firewall_Enterpriseactivation_Crack.exe;
      Butterfly.scr; Bifrost.scr; Arnold Schwarzenegger.jpg.exe; American
      Idol.doc.exe; Altkins Diet.doc.exe; Ahead Nero 8.exe; Adobe Premiere
      10.exe; Adobe Photoshop 10 full.exe; Adobe Photoshop 10 crack.exe;
      ACDSee 10.exe; AcrobatReader_New.exe; activation_crack.exe;
      angels.pif; 3D Studio Max 6 3dsmax.exe; 1001 Sex and more.rtf.exe

   Ces fichiers sont copies du Malware.

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS05-039 (Vulnerability in Plug and Play)


La cration des adresses IP:
Il cre des adresses IP alatoires et il essaye d'tablir une connexion avec elles.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: jojogirl.3322.org
Port: 5262
Canal: #Phantom
Pseudonyme: %chane de caractres alatoire de six digits%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Rpertoire de systme
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande distance
    • Oprer un attaque DDoS
     Scanner le rseau
    • Redmarrer le systme
    • Arrter le systme
     Commence le keylog
    • Terminer un processus
     Se mettre jour tout seul
    • Charger un fichier
     Visiter un site web

 Arrt de processus: La liste des processus qui sont termins:
   • a2hijackfree.exe; adam.exe; AgtX0404.exe; AgtX0411.exe; AgtX0804.exe;
      AlertAst.exe; ALEScan.exe; ALEUpdat.exe; ALUNOTIFY.EXE;
      antivirus_update.exe; aports.exe; AUPDATE.EXE; BackRav.exe;
      Blackd.exe; Blackice.exe; botzor.exe; bronstab.exe; ccEmFlSv.exe;
      CCenter.exe; CfgWiz.exe; Cleanup.exe; CmdAgent.exe; coolbot.exe;
      csm.exe; csscan.exe; CVT.exe; DefWatch.exe; DWHWizrd.exe; EGhost.exe;
      eksplorasi.pif; fint2005.exe; FrameworkService.exe; FrmInst.exe;
      hellmsn.scr; HijackThis.exe; hkcmd.exe; HNetWiz.exe; hpmanager.exe;
      iamstats.exe; IceSword.exe; IDTemplate.exe; igfxtray.exe; InBuild.exe;
      Iparmor.exe; ISSVC.exe; java.exe; KATMain.EXE; kav.exe; KAV32.EXE;
      KAVDX.EXE; KAVLog2.EXE; KAVPFW.EXE; kavsend.exe; KAVStart.exe;
      kavsvc.exe; KillBox.exe; KMailMon.EXE; knlps.exe; knlsc13.exe;
      KPFWSvc.EXE; KRecycle.EXE; KRegEx.exe; KShrMgr.EXE; KVCenter.kxp;
      kvdetech.exe; KvDetect.exe; kvdisk.kxp; KVDOS.exe; KVMonXP.kxp;
      KVOL.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe;
      KVStory.kxp; KVStub.kxp; kvupload.exe; kvwsc.exe; KvXP.kxp;
      KWatch.EXE; KWatch9x.EXE; LangSet.exe; LDVPREG.exe; logparser.exe;
      LRSend.exe; LSETUP.EXE; LUALL.EXE; LuaWrap.exe; LuComServer.EXE;
      LUInit.exe; MakeBoot.exe; McAffeAv.exe; mcconsol.exe; McScript.exe;
      McScript_InUse.exe; mcupdate.exe; MDAC.EXE; mousebm.exe; mousemm.exe;
      mousesync.exe; MsAgent.exe; msnmsgs.exe; MSTask.exe; naPrdMgr.exe;
      navustub.exe; NDETECT.EXE; NTdhcp.exe; nvchip4.exe; Patch.exe;
      PCCBrows.exe; pccguide.exe; pcclient.exe; PccLog.exe; pccmain.exe;
      PcCmdCom.exe; Pccspyui.exe; PcCtlCom.exe; PCCTool.exe; PCCVScan.exe;
      per.exe; PFW.exe; Phantom.exe; picx.exe; pireg.exe; pm.exe;
      ProcessExplorer.exe; Rav.exe; RAVDOS.EXE; RavHDBak.exe; RavMon.exe;
      RavMonD.exe; RavPatch.exe; RavStore.exe; RavStub.exe; RavTimer.exe;
      RavXP.exe; realsched.exe; RegClean.exe; RegGuide.exe; regsvc.exe;
      REGSVR32.EXE; Rescue.EXE; Rfw.exe; RfwMain.exe; rfwsrv.exe;
      rkdetector.exe; RootkitRevealer.exe; RsAgent.exe; RsConfig.exe;
      rssms.exe; Rtvscan.exe; RUNDLL32.EXE; SavRoam.exe; scan32.exe;
      ScanBD.exe; ScnCfg32.Exe; scrigz.exe; servce.exe; SetupWiz.EXE;
      shcfg32.exe; shstat.exe; SMARTDRV.EXE; SmartUp.exe; smss.exe;
      SOUNDMAN.exe; SymantecRootInstaller.exe; SymClnUp.exe; system.exe;
      taskgmr.exe; Tmntsrv.exe; TMOAgent.exe; TmPfw.exe; tmproxy.exe;
      TRA.EXE; TRIALMSG.exe; TrojanDetector.EXE; Trojanwall.exe;
      TrojDie.kxp; TSC.EXE; UnInstall.kxp; Update.EXE; UpdaterUI.exe;
      UpGrade.exe; VirusBox.kxp; VPC32.exe; VPDN_LU.exe; VPTray.exe;
      VsTskMgr.exe; winhost.exe; winldr.exe; wins.exe; wintbp.exe;
      winupdate.exe; wpa.exe; WriteCan.exe; Zonealarm.exe


 Porte drobe Le port suivant est ouvert:

%SYSDIR%\remote.exe sur le port TCP 5262 afin de fournir un serveur FTP

 Informations divers Mutex:
Il cre le Mutex suivant:
   • ___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___


Chane de caractres:
Ensuite il contient les chanes de caractres suivantes:
   • If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!!
   • [Phantom] 2005 made by Evil[xiaou]. Special Thanks:x140d4n.
   • Play with the best, Die like the rest.

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le mardi 17 janvier 2006
Description mise à jour par Irina Boldea le vendredi 20 janvier 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.