Descrizione completa

Nome del virus:	Worm/Mytob.KU
Scoperto:	16/10/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	44.032 Byte
Somma di controllo MD5:	681c76891f755ce893930C5afb670840
Versione VDF:	6.32.00.89

Generale Metodo di propagazione:
   • Email
   • Rete locale
   • Peer to Peer

Alias:
   • Kaspersky: Email-Worm.Win32.Fanbot.j
   • TrendMicro: WORM_FANBOT.C
   • Sophos: W32/Fanbot-H
   • Grisoft: I-Worm/Mytob.M
   • Bitdefender: Win32.Fanbot.J@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
• %SYSDIR%\remote.exe

Cancella la copia di se stesso eseguita inizialmente.

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\RpcRemotes
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."

Viene aggiunta la seguente chiave di registro:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
   • "Ph4nt0m" = "Ph4nt0m"

Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   Valore precedente:
   • "Start" =%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start" = dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start" = dword:00000004

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • *DETECTED* Online User Violation.
   • Email Account Suspension.
   • Hello. Were Skype and weve got something we would like to share with you.
   • Important Notification!
   • Members Support.
   • Notice of account limitation.
   • Security measures.
   • Share Skype.
   • Skype for Windows 1.4 - Have you got the new Skype?
   • Warning Message: Your services near to be closed.
   • What is Skype?
   • Your Account is Suspended For Security Reasons.
   • Your Account is Suspended.

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • Dear user %nome utente dall'indirizzo email del ricevente% ,
     It has come to our attention that your %nome a dominio del mittente dall'indirizzo email% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %nome a dominio del mittente dall'indirizzo email% !
     The %nome a dominio del mittente dall'indirizzo email% Support Team

     +++ Attachment: No Virus (Clean)
     +++ %nome a dominio del mittente dall'indirizzo email% Antivirus - www.%nome a dominio del mittente dall'indirizzo email%

   • Dear%nome a dominio del ricevente dall'indirizzo email% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome a dominio del mittente dall'indirizzo email% Support Team

     +++ Attachment: No Virus found
     +++%nome a dominio del mittente dall'indirizzo email% Antivirus - www.%nome a dominio del mittente dall'indirizzo email%

   • Dear %nome a dominio del ricevente dall'indirizzo email% Member,
     We have temporarily suspended your email account %indirizzo email del ricevente%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome a dominio del ricevente dall'indirizzo email% account.
     Sincerely,The %nome a dominio del mittente dall'indirizzo email% Support Team

     +++ Attachment: No Virus (Clean)
     +++ %nome a dominio del mittente dall'indirizzo email% Antivirus - www.%nome a dominio del mittente dall'indirizzo email%

   • Dear user %nome utente dall'indirizzo email del ricevente% ,
     You have successfully updated the password of your %nome a dominio del ricevente dall'indirizzo email% account.
     If you did not authorize this change or if you need assistance with your account, please contact %nome a dominio del mittente dall'indirizzo email% customer service at: %indirizzo email del mittente%
     Thank you for using%nome a dominio del mittente dall'indirizzo email%!
     The %nome a dominio del mittente dall'indirizzo email% Support Team

     +++ Attachment: No Virus (Clean)
     +++ %nome a dominio del mittente dall'indirizzo email% Antivirus - www.%nome a dominio del mittente dall'indirizzo email%

   • Dear user %nome utente dall'indirizzo email del ricevente%,
     Skype is a little piece of software that lets you talk over the Internet to anyone, anywhere for free.
     And it just got even better ¡ª download the latest version of Skype:
     Our call quality is the best ever for talking, laughing and sharing stories.
     You can forward calls on to mobiles, landlines and other Skype Names.
     Make calls instantly from Outlook email or Internet Explorer with our new toolbars.
     Personalise your Skype ¡ª play around with sounds, ringtones and pictures to show the world who you are.
     For further details see the attached document.

     This message contains graphics. If you do not see the graphics, click here to view.
     Legal information

File allegato:
Il nome del file allegato è uno dei seguenti:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • readme.zip
   • Share Skype.zip
   • Skype for Windows 1.4.zip
   • Skype.zip
   • Skype-details.zip
   • Skype-document.zip
   • Skype-info.zip
   • Skype-stuffs.zip

L'allegato è una copia del malware stesso.

L'email può presentarsi come una delle seguenti:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • adb; asp; cfg; cgi; dbx; ht; htm; html; jsp; mdb; msg; php; sht; tbb;
      txt; vbe; vbs; xml

Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • noreply
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:

–   Cerca le directory che contengono una delle seguenti sottostringhe:
   • bear
   • donkey
   • download
   • htdocs
   • icq
   • incoming
   • kazaa
   • lime
   • morpheus
   • mule
   • share
   • sharing
   • soft
   • upload

   Se riuscito, i seguenti file vengono creati:
   • Copies itself with the names; XXX hardcore pics.jpg.exe; WinXP eBook
      newest.doc.exe; Windows XP crack.exe; Windows 2003 crack.exe; Windows
      2000 Sourcecode.doc.exe; WinAmp 13 full.exe; Win Longhorn re.exe; Win
      Longhorn.doc.exe; Winxp_Crack.exe; Winamp5.exe; Visual Studio Net
      Crack all.exe; virii.scr; Ulead Keygen 2004.exe; UltraEdit-32 12.01 +
      Cracker.exe; The Sims 4 beta.exe; Teen Porn 15.jpg.pif; TouchNet
      Browser 1.29b.exe; Star Office 9.exe; Smashing the stack full.rtf.exe;
      Serials edition.txt.exe; Screensaver2.scr; Saddam Hussein.jpg.exe;
      Serials 2005_New.exe; Strip-Girl-2.0b.exe; Super Dollfie.pif;
      strippoker.exe; Serial.txt.exe; Ringtones.mp3.exe; Ringtones.doc.exe;
      RFC compilation.doc.exe; RealPlayer_New.exe; rfc compilation.doc.exe;
      Rain.scr; Porno Screensaver britney.scr; Partitionsmagic 10 beta.exe;
      programming basics.doc.exe; porno.scr; Opera 11.exe; Office_Crack.exe;
      Norton Antivirus 2005 beta.exe; netsky source code.scr; nuke2004.exe;
      MS Service Pack 6.exe; Microsoft WinXP Crack full.exe; Microsoft
      Office 2003 Crack best.exe; Matrix.mpg.exe; Magix Video Deluxe 5
      beta.exe; max payne 2.crack.exe; Maxthon_New.exe; MSN7-final.exe;
      matrix.scr; Lightwave 9 Update.exe; Learn Programming 2004.doc.exe;
      Keygen 4 all new.exe; Kazaa new.exe; Kazaa Lite 4.0 new.exe;
      Kula.jpg.pif; Kula.scr; 'K.jpg.pif; Internet Explorer 9 setup.exe;
      icq2005-final.exe; How to hack new.doc.exe; Harry Potter.doc.exe;
      Harry Potter game.exe; Harry Potter e book.doc.exe; Harry Potter all
      e.book.doc.exe; Harry Potter 5.mpg.exe; Harry Potter 1-6 book.txt.exe;
      how to hack.doc.exe; Gimp 1.8 Full with Key.exe; Full album
      all.mp3.pif; firefox-1.6a1.en-US.win32.installer.exe; Eminem.mp3.exe;
      Eminem Spears porn.jpg.exe; Eminem Song text archive.doc.exe; Eminem
      Sexy archive.doc.exe; Eminem sex xxx.jpg.exe; Eminem Poster.jpg.exe;
      Eminem full album.mp3.exe; Eminem blowjob.jpg.exe; E-Book
      Archive2.rtf.exe; eminem - lick my pussy.mp3.pif;
      e-book.archive.doc.exe; e.book.doc.exe; Doom 3 release 2.exe; DivX 8.0
      final.exe; Dictionary English 2004 - France.doc.exe; Dark Angels
      new.pif; dolly_buster.jpg.pif; dictionary.doc.exe; dcom_patches.exe;
      doom2.doc.pif; Cracks & Warez Archiv.exe; Cloning.doc.exe; Clone DVD
      6.exe; cool screensaver.scr; Britney Spears.mp3.exe; Britney
      Spears.jpg.exe; Britney Spears Song text archive.doc.exe; Britney
      Spears Sexy archive.doc.exe; Britney Spears porn.jpg.exe; Britney
      Spears full album.mp3.exe; Britney Spears fuck.jpg.exe; Britney Spears
      cumshot.jpg.exe; Britney Spears blowjob.jpg.exe; Britney Spears and
      Eminem porn.jpg.exe; Britney sex xxx.jpg.exe; Best Matrix Screensaver
      new.scr; BlackIce_Firewall_Enterpriseactivation_Crack.exe;
      Butterfly.scr; Bifrost.scr; Arnold Schwarzenegger.jpg.exe; American
      Idol.doc.exe; Altkins Diet.doc.exe; Ahead Nero 8.exe; Adobe Premiere
      10.exe; Adobe Photoshop 10 full.exe; Adobe Photoshop 10 crack.exe;
      ACDSee 10.exe; AcrobatReader_New.exe; activation_crack.exe;
      angels.pif; 3D Studio Max 6 3dsmax.exe; 1001 Sex and more.rtf.exe

   Questi file sono copie del malware stesso.

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Exploit:
Sfrutta la seguente vulnerabilità:
– MS05-039 (Vulnerability in Plug and Play)

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: jojogirl.3322.org
Porta: 5262
Canale: #Phantom
Nickname: %stringa casuale di sei caratteri%

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Directory di sistema
    • Nome Utente
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Riavviare il sistema
    • Arrestare il sistema
    • Inizia keylog
    • Terminare il processo
    • Aggiornarsi
    • Carica un file
    • Visitare un sito web

Processi terminati Lista dei processi che vengono terminati:
   • a2hijackfree.exe; adam.exe; AgtX0404.exe; AgtX0411.exe; AgtX0804.exe;
      AlertAst.exe; ALEScan.exe; ALEUpdat.exe; ALUNOTIFY.EXE;
      antivirus_update.exe; aports.exe; AUPDATE.EXE; BackRav.exe;
      Blackd.exe; Blackice.exe; botzor.exe; bronstab.exe; ccEmFlSv.exe;
      CCenter.exe; CfgWiz.exe; Cleanup.exe; CmdAgent.exe; coolbot.exe;
      csm.exe; csscan.exe; CVT.exe; DefWatch.exe; DWHWizrd.exe; EGhost.exe;
      eksplorasi.pif; fint2005.exe; FrameworkService.exe; FrmInst.exe;
      hellmsn.scr; HijackThis.exe; hkcmd.exe; HNetWiz.exe; hpmanager.exe;
      iamstats.exe; IceSword.exe; IDTemplate.exe; igfxtray.exe; InBuild.exe;
      Iparmor.exe; ISSVC.exe; java.exe; KATMain.EXE; kav.exe; KAV32.EXE;
      KAVDX.EXE; KAVLog2.EXE; KAVPFW.EXE; kavsend.exe; KAVStart.exe;
      kavsvc.exe; KillBox.exe; KMailMon.EXE; knlps.exe; knlsc13.exe;
      KPFWSvc.EXE; KRecycle.EXE; KRegEx.exe; KShrMgr.EXE; KVCenter.kxp;
      kvdetech.exe; KvDetect.exe; kvdisk.kxp; KVDOS.exe; KVMonXP.kxp;
      KVOL.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe;
      KVStory.kxp; KVStub.kxp; kvupload.exe; kvwsc.exe; KvXP.kxp;
      KWatch.EXE; KWatch9x.EXE; LangSet.exe; LDVPREG.exe; logparser.exe;
      LRSend.exe; LSETUP.EXE; LUALL.EXE; LuaWrap.exe; LuComServer.EXE;
      LUInit.exe; MakeBoot.exe; McAffeAv.exe; mcconsol.exe; McScript.exe;
      McScript_InUse.exe; mcupdate.exe; MDAC.EXE; mousebm.exe; mousemm.exe;
      mousesync.exe; MsAgent.exe; msnmsgs.exe; MSTask.exe; naPrdMgr.exe;
      navustub.exe; NDETECT.EXE; NTdhcp.exe; nvchip4.exe; Patch.exe;
      PCCBrows.exe; pccguide.exe; pcclient.exe; PccLog.exe; pccmain.exe;
      PcCmdCom.exe; Pccspyui.exe; PcCtlCom.exe; PCCTool.exe; PCCVScan.exe;
      per.exe; PFW.exe; Phantom.exe; picx.exe; pireg.exe; pm.exe;
      ProcessExplorer.exe; Rav.exe; RAVDOS.EXE; RavHDBak.exe; RavMon.exe;
      RavMonD.exe; RavPatch.exe; RavStore.exe; RavStub.exe; RavTimer.exe;
      RavXP.exe; realsched.exe; RegClean.exe; RegGuide.exe; regsvc.exe;
      REGSVR32.EXE; Rescue.EXE; Rfw.exe; RfwMain.exe; rfwsrv.exe;
      rkdetector.exe; RootkitRevealer.exe; RsAgent.exe; RsConfig.exe;
      rssms.exe; Rtvscan.exe; RUNDLL32.EXE; SavRoam.exe; scan32.exe;
      ScanBD.exe; ScnCfg32.Exe; scrigz.exe; servce.exe; SetupWiz.EXE;
      shcfg32.exe; shstat.exe; SMARTDRV.EXE; SmartUp.exe; smss.exe;
      SOUNDMAN.exe; SymantecRootInstaller.exe; SymClnUp.exe; system.exe;
      taskgmr.exe; Tmntsrv.exe; TMOAgent.exe; TmPfw.exe; tmproxy.exe;
      TRA.EXE; TRIALMSG.exe; TrojanDetector.EXE; Trojanwall.exe;
      TrojDie.kxp; TSC.EXE; UnInstall.kxp; Update.EXE; UpdaterUI.exe;
      UpGrade.exe; VirusBox.kxp; VPC32.exe; VPDN_LU.exe; VPTray.exe;
      VsTskMgr.exe; winhost.exe; winldr.exe; wins.exe; wintbp.exe;
      winupdate.exe; wpa.exe; WriteCan.exe; Zonealarm.exe

Backdoor Viene aperta la seguente porta:

– %SYSDIR%\remote.exe sulla porta TCP 5262 con lo scopo di procurarsi un server FTP.

Varie Mutex:
Crea il seguente Mutex:
   • ___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___

Stringa:
In più contiene le seguenti stringhe:
   • If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!!
   • [Phantom] 2005 made by Evil[xiaou]. Special Thanks:x140d4n.
   • Play with the best, Die like the rest.

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su martedì 17 gennaio 2006
Descrizione aggiornata da Irina Boldea su venerdì 20 gennaio 2006

Indietro . . . .