Nume:Worm/Mytob.61440
Descoperit pe data de:03/05/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:58.368 Bytes
MD5:d4be7b51dee132f5814a3c7df7c5a464
Versiune IVDF:6.30.00.154 - mardi 3 mai 2005

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Net-Worm.Win32.Mytob.gen
   •  TrendMicro: WORM_MYDOOM.DM
   •  F-Secure: Net-Worm.Win32.Mytob.gen
   •  Sophos: W32/Mytob-BT
   •  Panda: W32/Mytob.CD.worm
   •  Eset: Win32/Mytob.BL worm
   •  Bitdefender: Win32.Worm.Mytob.LM


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Utilizeaza propriul motor de email
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\taskgmrs.exe
   • c:\funny_pic.scr
   • c:\see_this!!.scr
   • c:\my_photo2005.scr



Este creat fisierul:

– c:\hellmsn.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Mytob.F.1

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDRUN"="taskgmrs.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\OLE]
   • "WINDRUN"="taskgmrs.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "EnableDCOM"="Y"
   • "WINDRUN"="taskgmrs.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

 Email Contine un motor SMTP integrat, pentru a trimite spam prin email. Astfel se va conecta direct la serverul destinatar. Caracteristicile sunt:


De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.
Expeditorul email-ului este unul din urmatorii:
   • sandra
   • lolita
   • britney
   • bush
   • linda
   • julie
   • jimmy
   • jerry
   • helen
   • debby
   • claudia
   • brenda
   • anna
   • madmax
   • brent
   • adam
   • ted
   • fred
   • jack
   • bill
   • stan
   • smith
   • steve
   • matt
   • dave
   • dan
   • joe
   • jane
   • bob
   • robert
   • peter
   • tom
   • ray
   • mary
   • serg
   • brian
   • jim
   • maria
   • leo
   • jose
   • andrew
   • sam
   • george
   • david
   • kevin
   • mike
   • james
   • michael
   • alex
   • john


Catre:
– Adrese de email gasite pe sistem.


Subiect:
Unul din urmatoarele:
   • hello
   • Error
   • Status
   • Good day
   • SERVER REPORT
   • Mail Transaction Failed
   • Mail Delivery System

Uneori subiectul poate lipsi.
In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Uneori poate contine caractere aleatoare.
Corpul email-ului este unul din textele:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • Here are your banks documents.


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • doc
   • file
   • text
   • data
   • body
   • readme
   • message
   • document
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • .zip
   • .scr
   • .pif
   • .bat
   • .exe
   • .cmd



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adbh
   • tbbg
   • dbxn
   • aspd
   • phpq
   • shtl
   • htmb


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; be_loyal:; mozilla; utgers.ed; tanford.e; pgp; acketst; secur;
      isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet;
      fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math;
      unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai;
      example; inpris; borlan; sopho; panda; icrosof; syma; avp; .edu;
      abuse; www

 Reţea Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.beast**********
Port: 8080
Canal: #hell
Nick: [I]%combinatie de caractere aleatoare%
Parola: hellabot


– In plus, poate efectua urmatoarele operatii:
    • deconectare server IRC
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • Face upload la un fisier

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este blocat:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




Fisierul hosts modificat va arata astfel:


 Backdoor Deschide portul

– taskgmrs.exe pe portul TCP 10082 pentru a functiona ca server FTP.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • H-E-L-L-B-O-T

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Upack

Description insérée par Gabriel Mustata le vendredi 5 octobre 2007
Description mise à jour par Gabriel Mustata le vendredi 5 octobre 2007

Retour . . . .