Descrizione completa

Nome del virus:	Worm/Mytob.AD
Scoperto:	13/12/2012
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	49.152 Byte
Somma di controllo MD5:	057e1a0Ec4443f5eeb83d9e44777c56f
Versione VDF:	7.11.53.216

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.u
   • TrendMicro: WORM_MYTOB.AC
   • Sophos: W32/MyDoom-AJ
   • Grisoft: I-Worm/Mytob.AA
   • VirusBuster: I-Worm.Mytob.AC
   • Bitdefender: Win32.Worm.Mytob.AC

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

File Si copia alle seguenti posizioni:
   • %SYSDIR%\rnathchk.exe
   • C:\pic.scr
   • C:\see_this!.pif
   • C:\my_picture.scr

Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "RealPlayer Ath Check" = "rnathchk.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\OLE]
   • "RealPlayer Ath Check" = "rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "RealPlayer Ath Check" = "rnathchk.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • MAIL TRANSACTION FAILED
   • SERVER REPORT
   • Status

Inoltre la riga dell’oggetto può contenere delle lettere casuali.

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.

File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

– Stringa casuale
   • data
   • doc
   • document
   • file
   • message
   • body
   • readme
   • test
   • text
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • BAT
   • CMD
   • EXE
   • PIF
   • SCR
   • ZIP

L'allegato è una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm

Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com

Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • avp; syma; icrosof; panda; sopho; borlan; inpris; example; mydomai;
      nodomai; ruslis; .gov; gov.; .mil; foo.; berkeley; unix; math; bsd;
      mit.e; gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana;
      ietf; rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst;
      pgp; tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; bugs; rating; site; contact; soft; somebody; privacy; service;
      help; not; submit; feste; gold-certs; the.bat; page; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; google; accoun;
      spm; fcnz; www; secur; abuse

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • gate
   • ns
   • mail
   • mx

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-011 (LSASS Vulnerability)

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: spm.slo-partija.info
Porta: 48275
Password del server: 57284
Canale: #hb2
Nickname: [I]%stringa di caratteri casuale%
Password: sp4m

Server: spm.gobice.net
Porta: 48275
Password del server: 57284
Canale: #hb2
Nickname: [I]%stringa di caratteri casuale%
Password: sp4m

Server: egwf.wegberobpk.info
Porta: 48275
Password del server: 57284
Canale: #hb2
Nickname: [I]%stringa di caratteri casuale%
Password: sp4m

– Questo malware ha la capacità di raccogliere ed inviare le seguenti informazioni:
    • Uptime del malware

– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.microsoft.com
   • www.trendmicro.com
   • metalhead2005.info
   • irc.blackcarder.net
   • d66.myleftnut.info

L'host del file modificato sarà del tipo:

Varie Mutex:
Crea il seguente Mutex:
• I_FUCK_DEAD_PPL

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Victor Tone su martedì 15 novembre 2005
Descrizione aggiornata da Victor Tone su mercoledì 23 novembre 2005

Indietro . . . .

Devi aggiustare il tuo PC?

Prodotti in evidenza

Altri prodotti

I prodotti piu conosciuti

Tutti i prodotti

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti

Prodotti in evidenza

Altri prodotti

I prodotti piu conosciuti

Tutti i prodotti

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti