Worm/Mytob.NG - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Mytob.NG
La date de la découverte:	14/03/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	71.843 Octets
Somme de contrôle MD5:	b2def42ba6b77e18333b9bf7b27a3388
Version VDF:	6.30.00.74

Général Méthodes de propagation:
   • Email
   • Le réseau local

Les alias:
   • TrendMicro: WORM_MYTOB.OT
   • Bitdefender: Win32.Worm.Mytob.X.Gen

Avant, il était détecté comme:
   • TR/FURootkit

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\Lzr.exe
   • C:\funny pic.scr
   • C:\photo album.scr
   • C:\eminem vs 2pac.scr

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– C:\Lzr.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Mytob.Q.1

– c:\windows Manager.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/FURootkit

Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Manager"="Lzr.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Manager"="Lzr.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Manager"="Lzr.exe"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • "Windows Manager"="Lzr.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows Manager"="Lzr.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "Windows Manager"="Lzr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows Manager"="Lzr.exe"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées

Sujet:
Un des suivants:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • thanks!
   • read it immediately

En outre le sujet peut contenir des lettres aléatoires.

Corps:
– Il contient du code HTML
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • I have received your document. The corrected document is attached.
   • %chaîne de caractères aléatoire%

Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

– Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-même.

L'email ressemble à celui-ci:

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm

La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • %chaîne de caractères aléatoire%; adam; alex; andrew; anna;
      bill; bob; brenda; brent; brian; britney; bush; claudia; dan; dave;
      david; debby; fred; george; helen; jack; james; jane; jerry; jim;
      jimmy; joe; john; jose; josh; julie; kevin; leo; linda; lolita;
      madmax; maria; mary; matt; michael; mike; peter; ray; robert; sam;
      sandra; serg; smith; stan; steve; ted; tom

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.;
      help; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o;
      isi.e; kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; spm; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your

Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
• IPC$

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: private.cnckiller.**********
Port: 6667
Canal: #»§ï§§§
Pseudonyme: [I]%chaîne de caractères aléatoire%
Mot de passe: blah

– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Le temps de fonctionnement du Malware
    • Information sur le réseau

– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Quitter la canal IRC
    • Se mettre à jour tout seul

Hôtes – Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com

Le fichier hôte modifié ressemblera à ceci:

Porte dérobée Le port suivant est ouvert:

– %inconnu% sur le port TCP 10087 afin de fournir un serveur FTP

Informations divers Mutex:
Il crée le Mutex suivant:
• H-E-L-L-B-O-T-3-BY-DIABLO

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres processus

La méthode utilisée:
• Caché de Windows API

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• MEW

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Tue, 14 Mar 2006 10:13 (GMT+1)
Description mise à jour par Andrei Gherman sur Fri, 17 Mar 2006 11:20 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour