Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mytob.KH
La date de la découverte:09/10/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:37.888 Octets
Somme de contrôle MD5:641f2da941507529f31d86c2a2ba0A06
Version VDF:6.32.00.69

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Email-Worm.Win32.Fanbot.f
   •  F-Secure: W32/Mytob.MT@mm
   •  Grisoft: I-Worm/Mytob.MC
   •  VirusBuster: Email-Worm.Win32.Fanbot.f
   •  Bitdefender: Win32.Fanbot.F@mm


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il bloque l'accès aux sites web de sécurité
   • Arrêt les applications de sécurité
   • Il crée un fichier
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur


Immédiatement après l'exécution l'information suivante est affichée:

L'image a été éditée dans le but d'affichage.

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%valeurs hexa%.tmp



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %TEMPDIR%\tmp%valeurs hexa%.tmp
   • %TEMPDIR%\Setup\CXMO%nombre%.exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



Le fichier suivant est créé:

– C:\Shell.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • fuck!!!
     The Active Windows Title: %Processus avec les fenêtres visibles%

 Registre La clé de registre suivante est changée:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

Dans certains cas, le sujet pourrait également être vide.
En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Le corps se construit avec l´aide d´une expression régulière.
–  Dans certains cas, il peut être vide.
–  Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est un des suivants:

   • Dear user %le nom d'utilisateur du compte d'email%,
     It has come to our attention that your receiver's %le domaine de l'expéditeur% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %le domaine de l'expéditeur%!
     The %le domaine de l'expéditeur% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le domaine de l'expéditeur% Antivirus - www.%le domaine de l'expéditeur%

   • Dear %le domaine de l'expéditeur% Member,
     We have temporarily suspended your email account %l'adresse email du destinataire%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %le domaine de l'expéditeur% account.
     Sincerely,The %le domaine de l'expéditeur% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le domaine de l'expéditeur% Antivirus - www.%le domaine de l'expéditeur%

   • Dear %le domaine de l'expéditeur% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %le domaine de l'expéditeur%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %le domaine de l'expéditeur% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le domaine de l'expéditeur% Antivirus - www.%le domaine de l'expéditeur%

   • Dear user %le nom d'utilisateur du compte d'email%,
     You have successfully updated the password of your %le domaine de l'expéditeur%account.
     If you did not authorize this change or if you need assistance with your account, please contact %le domaine de l'expéditeur% customer service at: %Adresse email de l’expéditeur%
     Thank you for using %le domaine de l'expéditeur%!
     The %le domaine de l'expéditeur% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le domaine de l'expéditeur% Antivirus - www.%le domaine de l'expéditeur%


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-même.



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


La création des adresses pour le champ À:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: SmallPhantom.3322.**********
Canal: #xiaoyu

Serveur: SmallPhantom.meibu.**********
Canal: #xiaoyu



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • L'activité local des utilisateurs
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Redémarrer le système
    • Envoyer des e-mails
    • Arrêter le système
    • Commence le keylog
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




Le fichier hôte modifié ressemblera à ceci:


 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Les mots de passe employés par la fonction AutoComplete

– Une routine de journalisation est commencé après que les chaînes de caractères suivantes soient tapées:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

 Informations divers Mutex:
Il crée le Mutex suivant:
   • [Phantom]

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • LCC WIN32 1.x

Description insérée par Monica Ghitun le vendredi 23 novembre 2007
Description mise à jour par Andrei Gherman le mardi 27 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.