Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mytob.DV
La date de la dcouverte:26/05/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:55.296 Octets
Somme de contrle MD5:2B2E45E0594B31C594FC1E3D753AED9B
Version VDF:6.30.00.204

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Mytob.AH@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.x
   •  Sophos: W32/Mytob-BZ
   •  Grisoft: I-Worm/Mytob.VN
   •  VirusBuster: iworm I-Worm.Mytob.DR
   •  Eset: Win32/Mytob.BG
   •  Bitdefender: Win32.Worm.Mytob.X


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accs aux sites web de scurit
   • Il cre un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\taskgmr.exe
   • C:\my_photo2005.scr
   • C:\see_this!!.scr
   • C:\funny_pic.scr



Le fichier suivant est cr:

C:\hellmsn.exe Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Mytob.F.1

 Registre Les cls suivantes sont en permanence ajoutes aux registres, dans une boucle infinie, afin de lancer les processus aprs le redmarrage.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="taskgmr.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINTASK"="taskgmr.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="taskgmr.exe"



Les cls de registre suivantes sont ajoute:

[HKCU\Software\Microsoft\OLE]
   • "WINTASK"="taskgmr.exe"

[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="taskgmr.exe"

[HKLM\SOFTWARE\Microsoft\Ole]
   • "WINTASK"="taskgmr.exe"

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="taskgmr.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses cres


Sujet:
Un des suivants:
   • ERROR
   • GOOD DAY
   • HELLO
   • MAIL DELIVERY SYSTEM
   • Mail Transaction Failed
   • Server Report
   • Status

Dans certains cas, le sujet pourrait galement tre vide.
En outre le sujet peut contenir des lettres alatoires.


Corps:
–  Dans certains cas il peut contenir des caractres alatoires.
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • Here are your banks documents.


Pice jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • message
   • test
   • data file
   • text
   • doc
   • readme
   • document
   • %chane de caractres alatoire%

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


La cration des adresses pour les champs et DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouves dans les fichiers du systmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS04-011 (LSASS Vulnerability)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.
Le fichier tlcharg est stock sur la machine compromise comme: %SYSDIR%\bingoo.exe

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: chatbox88.homeunix.**********
Port: 6667
Canal: #warider
Pseudonyme: [I]%chane de caractres alatoire%
Mot de passe: .r0b0t.



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Le temps de fonctionnement du Malware
    • Information sur le rseau


 Ensuite il a la capacit d'oprer des actions tel que:
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • Excuter un fichier
     Se mettre jour tout seul

 Htes Le fichier hte est modifi, comme il est expliqu:

Dans ce cas les entres dj existantes ne sont pas modifies.

L'accs aux liens URL suivants est effectivement bloqu :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com


 Porte drobe Le port suivant est ouvert:

taskgmr.exe sur le port TCP 10087 afin de fournir un serveur FTP

 Informations divers Mutex:
Il cre le Mutex suivant:
   • H-E-L-L-B-O-T

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • FSG 2.0

Description insérée par Iulia Diaconescu le vendredi 13 octobre 2006
Description mise à jour par Iulia Diaconescu le lundi 6 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.