Worm/Mytob.61440 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Mytob.61440
La date de la découverte:	03/05/2005
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	58.368 Octets
Somme de contrôle MD5:	d4be7b51dee132f5814a3c7df7c5a464
Version IVDF:	6.30.00.154

Général Méthodes de propagation:
   • Email
   • Le réseau local

Les alias:
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.gen
   • TrendMicro: WORM_MYDOOM.DM
   • F-Secure: Net-Worm.Win32.Mytob.gen
   • Sophos: W32/Mytob-BT
   • Panda: W32/Mytob.CD.worm
   • Eset: Win32/Mytob.BL worm
   • Bitdefender: Win32.Worm.Mytob.LM

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il emploie son propre moteur de courrier électronique
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\taskgmrs.exe
   • c:\funny_pic.scr
   • c:\see_this!!.scr
   • c:\my_photo2005.scr

Le fichier suivant est créé:

– c:\hellmsn.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Mytob.F.1

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"

Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDRUN"="taskgmrs.exe"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • "WINDRUN"="taskgmrs.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "EnableDCOM"="Y"
   • "WINDRUN"="taskgmrs.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • sandra
   • lolita
   • britney
   • bush
   • linda
   • julie
   • jimmy
   • jerry
   • helen
   • debby
   • claudia
   • brenda
   • anna
   • madmax
   • brent
   • adam
   • ted
   • fred
   • jack
   • bill
   • stan
   • smith
   • steve
   • matt
   • dave
   • dan
   • joe
   • jane
   • bob
   • robert
   • peter
   • tom
   • ray
   • mary
   • serg
   • brian
   • jim
   • maria
   • leo
   • jose
   • andrew
   • sam
   • george
   • david
   • kevin
   • mike
   • james
   • michael
   • alex
   • john

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.

Sujet:
Un des suivants:
   • hello
   • Error
   • Status
   • Good day
   • SERVER REPORT
   • Mail Transaction Failed
   • Mail Delivery System

Dans certains cas, le sujet pourrait également être vide.
En outre le sujet peut contenir des lettres aléatoires.

Corps:
– Dans certains cas il peut contenir des caractères aléatoires.
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • Here are your banks documents.

Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

– Il commence avec un des suivants:
   • doc
   • file
   • text
   • data
   • body
   • readme
   • message
   • document
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • .zip
   • .scr
   • .pif
   • .bat
   • .exe
   • .cmd

L'email ressemble à celui-ci:

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adbh
   • tbbg
   • dbxn
   • aspd
   • phpq
   • shtl
   • htmb

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; be_loyal:; mozilla; utgers.ed; tanford.e; pgp; acketst; secur;
      isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet;
      fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math;
      unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai;
      example; inpris; borlan; sopho; panda; icrosof; syma; avp; .edu;
      abuse; www

Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.beast**********
Port: 8080
Canal: #hell
Pseudonyme: [I]%chaîne de caractères aléatoire%
Mot de passe: hellabot

– Ensuite il a la capacité d'opérer des actions tel que:
    • se déconnecter du serveur IRC
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Charger un fichier

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com

Le fichier hôte modifié ressemblera à ceci:

Porte dérobée Le port suivant est ouvert:

– taskgmrs.exe sur le port TCP 10082 afin de fournir un serveur FTP

Informations divers Mutex:
Il crée le Mutex suivant:
• H-E-L-L-B-O-T

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• Upack

Voir la description brève ici.

Description inséré par Gabriel Mustata sur Fri, 05 Oct 2007 11:05 (GMT+1)
Description mise à jour par Gabriel Mustata sur Fri, 05 Oct 2007 16:22 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour