Nume:Worm/Agent.aii
Descoperit pe data de:25/10/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:733.184 Bytes
MD5:bbe4701b9fbb05416993791b02b98653
Versiune VDF:6.36.00.149
Versiune IVDF:6.36.00.166 - mercredi 25 octobre 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: Generic BackDoor.u
   •  Kaspersky: Backdoor.Win32.Agent.aii
   •  Sophos: W32/Mytob-JI
   •  Eset: Win32/Mytob.VE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winemail.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Email"="winemail.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Email"="winemail.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%valori hex%
   • "{K7C0DB872A3F777C0}"=%valori hex%
   • "{I7B4ED451FFFFFFFF}"=%valori hex%
   • "{07B4ED451FFFFFFFF}"=%valori hex%

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}]
   • @="Media Clip"
   • "AppID"="{00022601-0000-0000-C000-000000000046}"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\AuxUserType\2]
   • @="Media Clip"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   DefaultSet]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\0]
   • @="Embed Source,1,8,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\1]
   • @="3,1,32,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\2]
   • @="8,1,1,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DefaultIcon]
   • @="mplay32.exe,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\InprocHandler32]
   • @="ole32.dll"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\Insertable]
   • @=""

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer32]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\MiscStatus]
   • @="0"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\ProgID]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\0]
   • @="&Play,0,3"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\1]
   • @="&Edit,0,2"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\2]
   • @="&Open,0,2"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • Account Alert
   • %cuvinte aleatoare%



Corpul email-ului:
– Contine cod HTML.
– Contine un link catre alt malware.
–  Uneori corpul email-ului este gol.
–  Uneori poate contine caractere aleatoare.

 
Corpul email-ului este unul din textele:

   • Dear Valued Member,
     According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons.
     http://www.%nume domeniu si domeniu top level al adresei expeditorului%/confirm.php?account=%adresa destinatarului%
     After following the instructions in the sheet, your account will not be interrupted and will continue as normal.
     Thanks for your attention to this request. We apologize for any inconvenience.
     Sincerely, %domeniul expeditorului din adresa de email% Department



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab


Genereaza adrese pentru campul expeditorului:
Pentru a genera adresele foloseste urmatorul text:
   • abuse

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Genereaza adrese pentru campul destinatarului:
Pentru a genera adresele foloseste urmatorul text:
   • %combinatie de caractere aleatoare%

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • mcafee; symantec; sophos; bitdefender; avg; kaspersky; avast; nod32;
      vba32; antivir; avira; cat-quickheal; clamav; drweb; f-prot; etrust;
      fortinet; ikarus; norman; panda; thehacker; ewido; spm; fcnz; www;
      secur; abuse


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: mail.yfcdavao.**********
Port: 3132
Canal: #email
Nick: email%sir de 6 caractere aleatoare%
Parola: r00ted



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Cantitatea de memorie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • trimitere email-uri
    • Se actualizeaza singur

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • gfbgslkvtgf

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Monica Ghitun le mercredi 25 octobre 2006
Description mise à jour par Monica Ghitun le mercredi 22 novembre 2006

Retour . . . .