Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Mytob.EF.2
Scoperto:18/04/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:130.200 Byte
Somma di controllo MD5:94dc803c285627031a5ff01946fa988e
Versione VDF:6.34.00.198
Versione IVDF:6.34.00.200 - mercoledì 19 aprile 2006

 Generale Metodi di propagazione:
   • Email
   • Rete locale
    Messenger
   • Peer to Peer


Alias:
   •  Symantec: W32.Mytob.PE@mm
   •  Kaspersky: Net-Worm.Win32.Kidala.a
   •  TrendMicro: WORM_MYTOB.PT
   •  Sophos: W32/Mytob-HH
   •  VirusBuster: I-Worm.Mydoom.BV
   •  Eset: Win32/Mytob.SF
   •  Bitdefender: Win32.Worm.Mytob.ET


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ISPSupport.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %root del drive di sistema%\HoT.pif
   • %SYSDIR%\loadwin.scr
   • %SYSDIR%\loadwin.com
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.com
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winloader.scr
   • %SYSDIR%\winload.scr
   • %SYSDIR%\winload.exe
   • %SYSDIR%\winload.com
   • %SYSDIR%\player.scr
   • %SYSDIR%\player.com
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.com
   • %SYSDIR%\microsystem.scr
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.com
   • %SYSDIR%\viewer.exe
   • %SYSDIR%\viewer.scr

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ISPSystem"="%SYSDIR%\ISPSupport.exe"



Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys32x
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systems

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria infezione o addirittura potrebbe non essere infetto. In pi si potrebbero ricevere email bounce che diranno che si infetti. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • %stringa di caratteri casuale%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



Corpo dell'email:
–  In alcuni casi pu essere vuoto.
–  In alcuni casi pu contenere caratteri casuali.


Il corpo dellemail come uno dei seguenti:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %stringa di caratteri casuale%

    L'estensione del file una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato una copia del malware stesso.

L'allegato un archivio che contiene una copia del malware stesso.



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio uno dei seguenti:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacit di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • \My Shared Folder
   • \eDonkey2000\incoming
   • \LimeWire\Shared

   Recupera le cartelle condivise interrogando le seguenti chiavi di registro:
   • SOFTWARE\Morpheus
   • SOFTWARE\KAZAA\LocalContent
   • Software\Kazaa\Transfer
   • SOFTWARE\iMesh\Client
   • SOFTWARE\WarezP2P

   Se riuscito, i seguenti file vengono creati:
   • YahooMessenger_Loader; MSN7.0UniversalPatch; MSN7.0Loader;
      KAV2006_Crack; ZoneAlarmPro6.xx_Crack; Angilina_Jolie_Sucks_a_Dick;
      JenniferLopez_Film_Sexy_Enough; BritneySpears_SoSexy;
      DAP7.4.x.x_crack; NortonAV2006_Crack; Alcohol_120%%_patch;
      Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly;
      nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; MSN7.0UniversalPatch;
      MSN7.0Loader; KAV2006_Crack; ZoneAlarmPro6.xx_Crack; TaskCatcher;
      Opera8; notepad++; lcc-win32_update; RealPlayerv10.xx_crack; nuke2006;
      office_crack; rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; xXx Sex xXx; porn in porn; cums in asshole;
      New Sex Movie; big tits; Fucked Hardly; Beautiful ass; Sexy Girl;
      WooooW much sexual; look at the bitch; Sex Movie; film Sex; XXX Movie;
      the best sex clip; Sex in Sex just watch it!!; Nawal-elzoghbi.rm;
      Elissa+3a9y.rm; Nancy-3ajram.rm; Halima-Poland.rm; Hayfaa-Wahbi.rm;
      Christina_Aguilera.rm; Jessica_Simpson.rm; Mariah_Carey.rm; Thalia.rm;
      Beyonce.rm; Jennifer_Lopez.rm; Angilina_Jolie.rm; Madonna.rm;
      Britney.rm; Nawal-elzoghbi.mpeg; Elissa+3a9y.mpeg; Nancy-3ajram.mpeg;
      Halima-Poland.mpeg; Hayfaa-Wahbi.mpeg; Christina_Aguilera.mpeg;
      Jessica_Simpson.mpeg; Mariah_Carey.mpeg; Thalia.mpeg; Beyonce.mpeg;
      Jennifer_Lopez.mpeg; Angilina_Jolie.mpeg; Madonna.mpeg; Britney.mpeg;
      Nawal-elzoghbi.ram; Elissa+3a9y.ram; Nancy-3ajram.ram;
      Halima-Poland.ram; Hayfaa-Wahbi.ram; Christina_Aguilera.ram;
      Jessica_Simpson.ram; Mariah_Carey.ram; Thalia.ram; Beyonce.ram;
      Jennifer_Lopez.ram; Angilina_Jolie.ram; Madonna.ram; Britney.ram;
      Nawal-elzoghbi.mpg; Elissa+3a9y.mpg; Nancy-3ajram.mpg;
      Halima-Poland.mpg; Hayfaa-Wahbi.mpg; Christina_Aguilera.mpg;
      Jessica_Simpson.mpg; Mariah_Carey.mpg; Thalia.mpg; Beyonce.mpg;
      Jennifer_Lopez.mpg; Angilina_Jolie.mpg; Madonna.mpg; Britney.mpg

   Questi file sono copie del malware stesso.

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 AIM Messenger


A:
Tutti i dati immessi nella lista dei contatti.


Messaggio
Il messaggio inviato sar tipo uno dei seguenti:

   • look at this video http://%indirizzo IP%:2001/%stringa di caratteri casuale%

   • hehe, watch this http://%indirizzo IP%:2001/%stringa di caratteri casuale%

   • your going to like this :D http://%indirizzo IP%:2001/%stringa di caratteri casuale%

   • lol, don't forget to watch this video http://%indirizzo IP%:2001/%stringa di caratteri casuale%

   • LOL, this shit is funny http://%indirizzo IP%:2001/%stringa di caratteri casuale%

L'URL si riferisce cos a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.


Propagazione via file
Invia un file con uno dei seguenti nomi:
   • crazy5.scr
   • exposed.scr
   • funny2.scr
   • funny1.scr
   • haha.scr
   • picture1.scr
   • mjackson.scr
   • lucky.scr
   • crazyjump.scr
   • funny3.scr

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilit:
 MS01-059 (Unchecked Buffer in Universal Plug and Play)
 MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 Bagle backdoor (port 2745)
 Kuang backdoor (port 17300)
 Mydoom backdoor (port 3127)
 NetDevil backdoor (port 903)
 Optix backdoor (port 3140)
 SubSeven backdoor (port 27347)
 DameWare remote administration (port 6129)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script TFTP o FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 Processi terminati Lista dei processi che vengono terminati:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\ISPSupport.exe sulla porta TCP 16248 con lo scopo di procurarsi un server FTP.
%SYSDIR%\ISPSupport.exe 2001 con lo scopo di procurarsi un server HTTP.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su lunedì 19 giugno 2006
Descrizione aggiornata da Irina Boldea su mercoledì 21 giugno 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.