Worm/Mytob.MR - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Mytob.MR
La date de la découverte:	18/01/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	87.040 Octets
Somme de contrôle MD5:	1c6c7cbb3e47fae15dd54da069cd5165
Version VDF:	6.33.00.133

Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Programme de messagerie

Les alias:
   • Symantec: W32.Mytob.AH@mm
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.t
   • TrendMicro: WORM_MYTOB.AQ
   • Grisoft: I-Worm/Mytob.AH
   • VirusBuster: I-Worm.Mytob.AF
   • Bitdefender: Win32.Worm.Mytob.T

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\taskgmr32.exe
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr

Le fichier suivant est créé:

– C:\hellmsn.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Mytob.F.1

Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINRUN" = "taskgmr32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINRUN" = "taskgmr32.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINRUN" = "taskgmr32.exe"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • "WINRUN" = "taskgmr32.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINRUN" = "taskgmr32.exe"

– [HKLM\Software\Microsoft\OLE]
   • "WINRUN" = "taskgmr32.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINRUN" = "taskgmr32.exe"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses créées

Sujet:
Un des suivants:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Good day

En outre le sujet peut contenir des lettres aléatoires.

Corps:
– Dans certains cas il peut contenir des caractères aléatoires.
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • Here are your banks documents.

Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

– Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-même.

L'email ressemble à celui-ci:

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm

La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.;
      help; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o;
      isi.e; kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; spm; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your

Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Messenger

A:
Tous les contacts en ligne de la liste de contacts.

Propagation pas fichier
Il envoie un fichier avec un des noms suivants:
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
• ipc$

La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: null.r**********g.vu
Port: 6667
Canal: #fuckoff
Pseudonyme: [I]%chaîne de caractères aléatoire%
Mot de passe: fuckoff

– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Le temps de fonctionnement du Malware

– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Se mettre à jour tout seul

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com

Le fichier hôte modifié ressemblera à ceci:

Porte dérobée Le port suivant est ouvert:

– taskgmr32.exe sur le port TCP 10087 afin de fournir un serveur FTP

Informations divers Mutex:
Il crée le Mutex suivant:
• H-E-L-L-B-O-T

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Thu, 19 Jan 2006 09:19 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 24 Jan 2006 13:46 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour