Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Mytob.KV
Scoperto:16/10/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:71.680 Byte
Somma di controllo MD5:1a579eaa603ac908f10E2ce4e3bdaf9b
Versione VDF:6.32.00.89

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.q
   •  TrendMicro: WORM_MYTOB.X
   •  Sophos: W32/Mytob-R
   •  Grisoft: I-Worm/Mytob.U
   •  VirusBuster: I-Worm.Mytob.W!zip
   •  Eset: Win32/Mytob.T
   •  Bitdefender: Win32.Worm.Mytob.S


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Clona un file maligno
   • Modifica del registro
   • Sfrutta la vulnerabilit del software

 File Si copia alle seguenti posizioni:
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr
   • %SYSDIR%\nethell.exe
   • %SYSDIR%\taskgmr.exe

C:\hellmsn.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Mytob.F.1

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASK" = "taskgmr.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "WINTASK" = "taskgmr.exe"



Vengono aggiunte le seguenti chiavi di registro:

HKCU\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

HKLM\Software\Microsoft\OLE
   • "WINTASK" = "taskgmr.exe"

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASK" = "taskgmr.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria infezione o addirittura potrebbe non essere infetto. In pi si potrebbero ricevere email bounce che diranno che si infetti. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • %stringa di caratteri casuale%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



Corpo dell'email:
Il corpo dellemail come uno dei seguenti:
   • %stringa di caratteri casuale%
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


File allegato:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %stringa di caratteri casuale%

    L'estensione del file una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato una copia del malware stesso.



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • adb; asp; dbx; doc; htm; php; sht; tbb; tmp; txt; wab


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio uno dei seguenti:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacit di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa pi copie di se stesso nelle seguenti condivisioni di rete:
   • Admin$
   • Admin$\system32
   • c$
   • c$\winnt\system32
   • d$
   • e$
   • ipc$
   • ipc$\system32
   • lwc$
   • NETLOGON
   • print$
   • print$\system32
   • profiles$
   • SYSVOL


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

Nomi Utente e Password presenti nella cache.

Una lista di Nomi utente e Password:
   • Cisco; CISCO; ROOT; Root; oeminstall; staff; teacher; student1;
      student; afro; turnip; glen; freddy; intranet; lan; nokia; ctx;
      headoffice; main; capitol; blank; office; mass; control; pink; yellow;
      siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; database;
      domainpassword; domainpass; domain; orange; heaven; fish; hell; god;
      sex; fuck; exchnge; exchange; backup; technical; sage; owa; loginpass;
      login; katie; kate; bruce; ian; neil; lee; spencer; frank; joan;
      susan; sue; barbara; ron; luke; qwe; asd; qaz; oemuser; oem; homeuser;
      home; accounting; internet; web; outlook; mail; qwerty; null; server;
      system; default; changeme; none; test; xxxxxxxxx; xxxxxxxx; xxxxxxx;
      xxxxxx; xxxxx; xxxx; xxx; wired; winxp; winston; winpass; winnt; wing;
      wine; windozexp; windozeME; windoze98; windoze95; windoze2k; windoze;
      windowz; WindowsXP; windowsME; windows98; windows95; windows2k;
      windows; windose; win98; win2k; win2000; win; userpassword; username;
      usermane; user1; User; USER; user; Unknown; unknown; password123;
      password1; Password; PASSWORD; password; passwd; passphra; pass1234;
      pass123; pass; Guest; GUEST; guest; Administrator; ADMINISTRATOR;
      administrator; Administrateur; Administrador; admin123; Admin; ADMIN;
      adm; accounts; account; access; ACCESS; abcd; abc123; abc; aaa;
      654321; 54321; 2600; 2003; 2002; 123qwe; 123asd; 123abc; 1234qwer;
      123467890; 12346789; 1234678; 123467; 12346; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123321; 123123; 123; 121212; 121;
      11111111; 111111; 111; 110; 0wned; 0wn3d; 007; 00000000; 000000;
      00000; 0000; 000



Exploit:
Sfrutta le seguenti vulnerabilit:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 19.**********or.biz
Canale: #m-rl5
Nickname: q[I]%stringa di caratteri casuale%



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Uptime del malware


 In pi ha la capacit di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Terminare il malware

 Host L'host del file viene modificato come spiegato:

In questo caso i dati immessi gi esistenti vengono cancellati.

L'accesso ai seguenti domini effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




L'host del file modificato sar del tipo:


 Backdoor Viene aperta la seguente porta:

%SYSDIR%\taskgmr.exe sulla porta TCP 16542 con lo scopo di procurarsi un server FTP.

 Varie Mutex:
Crea il seguente Mutex:
   • ggmutexk2

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su venerdì 20 gennaio 2006
Descrizione aggiornata da Irina Boldea su venerdì 20 gennaio 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.