Nume:Worm/Mytob.KV
Descoperit pe data de:16/10/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:71.680 Bytes
MD5:1a579eaa603ac908f10E2ce4e3bdaf9b
Versiune VDF:6.32.00.89

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.q
   •  TrendMicro: WORM_MYTOB.X
   •  Sophos: W32/Mytob-R
   •  Grisoft: I-Worm/Mytob.U
   •  VirusBuster: I-Worm.Mytob.W!zip
   •  Eset: Win32/Mytob.T
   •  Bitdefender: Win32.Worm.Mytob.S


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Creeaza un fisier malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului

 Fisiere Se copiaza in urmatoarele locatii:
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr
   • %SYSDIR%\nethell.exe
   • %SYSDIR%\taskgmr.exe

– C:\hellmsn.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Mytob.F.1

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "WINTASK" = "taskgmr.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

– HKLM\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • %combinatie de caractere aleatoare%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



Corpul email-ului:
Corpul email-ului este unul din textele:
   • %combinatie de caractere aleatoare%
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


Atasament:

–  Incepe cu unul din urmatoarele:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

Atasamentul este o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • adb; asp; dbx; doc; htm; php; sht; tbb; tmp; txt; wab


Creeaza adrese pentru campul expeditorului si al destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • Admin$
   • Admin$\system32
   • c$
   • c$\winnt\system32
   • d$
   • e$
   • ipc$
   • ipc$\system32
   • lwc$
   • NETLOGON
   • print$
   • print$\system32
   • profiles$
   • SYSVOL


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

–Utilizatori si parole inregistrate.

– Lista de utilizatori si parole:
   • Cisco; CISCO; ROOT; Root; oeminstall; staff; teacher; student1;
      student; afro; turnip; glen; freddy; intranet; lan; nokia; ctx;
      headoffice; main; capitol; blank; office; mass; control; pink; yellow;
      siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; database;
      domainpassword; domainpass; domain; orange; heaven; fish; hell; god;
      sex; fuck; exchnge; exchange; backup; technical; sage; owa; loginpass;
      login; katie; kate; bruce; ian; neil; lee; spencer; frank; joan;
      susan; sue; barbara; ron; luke; qwe; asd; qaz; oemuser; oem; homeuser;
      home; accounting; internet; web; outlook; mail; qwerty; null; server;
      system; default; changeme; none; test; xxxxxxxxx; xxxxxxxx; xxxxxxx;
      xxxxxx; xxxxx; xxxx; xxx; wired; winxp; winston; winpass; winnt; wing;
      wine; windozexp; windozeME; windoze98; windoze95; windoze2k; windoze;
      windowz; WindowsXP; windowsME; windows98; windows95; windows2k;
      windows; windose; win98; win2k; win2000; win; userpassword; username;
      usermane; user1; User; USER; user; Unknown; unknown; password123;
      password1; Password; PASSWORD; password; passwd; passphra; pass1234;
      pass123; pass; Guest; GUEST; guest; Administrator; ADMINISTRATOR;
      administrator; Administrateur; Administrador; admin123; Admin; ADMIN;
      adm; accounts; account; access; ACCESS; abcd; abc123; abc; aaa;
      654321; 54321; 2600; 2003; 2002; 123qwe; 123asd; 123abc; 1234qwer;
      123467890; 12346789; 1234678; 123467; 12346; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123321; 123123; 123; 121212; 121;
      11111111; 111111; 111; 110; 0wned; 0wn3d; 007; 00000000; 000000;
      00000; 0000; 000



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 19.**********or.biz
Canal: #m-rl5
Nick: q[I]%combinatie de caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • terminare proces malware

 Fisiere host Fisierul

– In acest caz, inregistrarile existente sunt sterse.

– Accesul la urmatoarele domenii este blocat:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




Fisierul hosts modificat va arata astfel:


 Backdoor Deschide portul

– %SYSDIR%\taskgmr.exe pe portul TCP 16542 pentru a functiona ca server FTP.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • ggmutexk2

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Irina Boldea le vendredi 20 janvier 2006
Description mise à jour par Irina Boldea le vendredi 20 janvier 2006

Retour . . . .