Nom:Worm/Mytob.125440
La date de la découverte:02/11/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:125.440 Octets
Somme de contrôle MD5:c80091296c60572af6f300d4ceacd5e4
Version VDF:6.36.00.205
Version IVDF:6.36.00.225 - jeudi 2 novembre 2006

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  TrendMicro: WORM_MYTOB.JP
   •  Grisoft: I-Worm/Mytob.AMI
   •  VirusBuster: I-Worm.Omega.G
   •  Eset: Win32/Mytob.UZ


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\scvhost32.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINTASK"="scvhost32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="scvhost32.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\ProductName]
– [HKLM\SOFTWARE\ProductName\ProductID]
– [HKCU\Software\Microsoft\OLE]
   • "WINTASK"="scvhost32.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="scvhost32.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status

En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Dans certains cas il peut contenir des caractères aléatoires.
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • Mail transaction failed. Partial message is available.
   • Here are your banks documents.
   • The original message was included as an attachment.
   • Mail transaction failed. Partial message %df% available.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Chaîne de caractères aléatoire:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    L'extension du fichier est une des suivantes:
   • bat
   • scr
   • exe
   • cmd
   • pif
   • zip

L'attachement est une copie du malware lui-même.



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com

Voici des exemples des adresses crées:
   • ethereal@scram.de
   • gerald@wireshark.org
   • kojak@yahoo.com
   • oabad@noos.fr
   • paolo.abeni@email.it
   • psfales@lucent.com
   • richard@soronlin.org.uk


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • IPC$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: fuck.randz.**********
Port: 6667
Canal: #omega
Pseudonyme: [OG]%chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Le temps de fonctionnement du Malware
    • Information sur le réseau


– Ensuite il a l'habilité d'opérer l'action suivante:
    • Exécuter un fichier

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




Le fichier hôte modifié ressemblera à ceci:


 Informations divers Mutex:
Il crée le Mutex suivant:
   • omega

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le lundi 13 novembre 2006
Description mise à jour par Adriana Popa le lundi 13 novembre 2006

Retour . . . .