Nom:Worm/Mytob.KV
La date de la découverte:16/10/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:71.680 Octets
Somme de contrôle MD5:1a579eaa603ac908f10E2ce4e3bdaf9b
Version VDF:6.32.00.89

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.q
   •  TrendMicro: WORM_MYTOB.X
   •  Sophos: W32/Mytob-R
   •  Grisoft: I-Worm/Mytob.U
   •  VirusBuster: I-Worm.Mytob.W!zip
   •  Eset: Win32/Mytob.T
   •  Bitdefender: Win32.Worm.Mytob.S


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr
   • %SYSDIR%\nethell.exe
   • %SYSDIR%\taskgmr.exe

– C:\hellmsn.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Mytob.F.1

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "WINTASK" = "taskgmr.exe"



Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

– HKLM\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • %chaîne de caractères aléatoire%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



Corps:
Le corps de l'email est une des lignes:
   • %chaîne de caractères aléatoire%
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


Pièce jointe:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • adb; asp; dbx; doc; htm; php; sht; tbb; tmp; txt; wab


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • Admin$
   • Admin$\system32
   • c$
   • c$\winnt\system32
   • d$
   • e$
   • ipc$
   • ipc$\system32
   • lwc$
   • NETLOGON
   • print$
   • print$\system32
   • profiles$
   • SYSVOL


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– Une liste de noms d'utilisateurs et de mots de passe:
   • Cisco; CISCO; ROOT; Root; oeminstall; staff; teacher; student1;
      student; afro; turnip; glen; freddy; intranet; lan; nokia; ctx;
      headoffice; main; capitol; blank; office; mass; control; pink; yellow;
      siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; database;
      domainpassword; domainpass; domain; orange; heaven; fish; hell; god;
      sex; fuck; exchnge; exchange; backup; technical; sage; owa; loginpass;
      login; katie; kate; bruce; ian; neil; lee; spencer; frank; joan;
      susan; sue; barbara; ron; luke; qwe; asd; qaz; oemuser; oem; homeuser;
      home; accounting; internet; web; outlook; mail; qwerty; null; server;
      system; default; changeme; none; test; xxxxxxxxx; xxxxxxxx; xxxxxxx;
      xxxxxx; xxxxx; xxxx; xxx; wired; winxp; winston; winpass; winnt; wing;
      wine; windozexp; windozeME; windoze98; windoze95; windoze2k; windoze;
      windowz; WindowsXP; windowsME; windows98; windows95; windows2k;
      windows; windose; win98; win2k; win2000; win; userpassword; username;
      usermane; user1; User; USER; user; Unknown; unknown; password123;
      password1; Password; PASSWORD; password; passwd; passphra; pass1234;
      pass123; pass; Guest; GUEST; guest; Administrator; ADMINISTRATOR;
      administrator; Administrateur; Administrador; admin123; Admin; ADMIN;
      adm; accounts; account; access; ACCESS; abcd; abc123; abc; aaa;
      654321; 54321; 2600; 2003; 2002; 123qwe; 123asd; 123abc; 1234qwer;
      123467890; 12346789; 1234678; 123467; 12346; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123321; 123123; 123; 121212; 121;
      11111111; 111111; 111; 110; 0wned; 0wn3d; 007; 00000000; 000000;
      00000; 0000; 000



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: 19.**********or.biz
Canal: #m-rl5
Pseudonyme: q[I]%chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Le temps de fonctionnement du Malware


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Terminer le Malware

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\taskgmr.exe sur le port TCP 16542 afin de fournir un serveur FTP

 Informations divers Mutex:
Il crée le Mutex suivant:
   • ggmutexk2

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le vendredi 20 janvier 2006
Description mise à jour par Irina Boldea le vendredi 20 janvier 2006

Retour . . . .