Nume:Worm/Mytob.NT
Descoperit pe data de:12/07/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Nu
Marime:> 48.000 Bytes
Versiune VDF:6.34.00.152
Versiune IVDF:6.35.00.191 - giovedì 20 luglio 2006

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Symantec: W32.Mytob.AG@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.u
   •  Sophos: W32/MyDoom-AJ
   •  Grisoft: I-Worm/Mytob.AA
   •  Bitdefender: Win32.Worm.Mytob.AC


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\rnathchk.exe
   • c:\pic.scr
   • c:\see_this!.pif
   • c:\my_picture.scr



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %TEMPDIR%\tmp%numar hexazecimal%.tmp



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\tmp%numar hexazecimal%.tmp

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "RealPlayer Ath Check"="rnathchk.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check"="rnathchk.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check"="rnathchk.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\OLE]
   • "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "RealPlayer Ath Check"="rnathchk.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • Hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status

Uneori subiectul poate lipsi.
In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Uneori poate contine caractere aleatoare.

 
Corpul email-ului este unul din textele:
   • The message contains Unicode characters and has been sent as a binary attachment.
   • Mail transaction failed. Partial message is available.
   • Here are your banks documents.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • body.zip
   • message.zip
   • test.zip
   • data.zip
   • file.zip
   • text.zip
   • doc.zip
   • readme.zip
   • document.zip
   • %combinatie de caractere aleatoare%.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.
Fisierul descarcat este salvat pe masina infectata, cu numele: %SYSDIR%\wtfhe.exe

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: spm.slo-par**********
Port: 48275
Parola serverului: 57248
Canal: #hb2
Nick: [I]%combinatie de caractere aleatoare%
Parola: sp4m



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Timpul de cand malware-ul a fost lansat in executie


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • Se actualizeaza singur

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este blocat:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com;
      metalhead2005.info; irc.blackcarder.net; d66.myleftnut.info




Fisierul hosts modificat va arata astfel:


 Backdoor Deschide portul

– rnathchk.exe pe portul TCP 36276 pentru a functiona ca server FTP.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • I_FUCK_DEAD_PPL

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Andrei Ivanes su giovedì 20 luglio 2006
Descrizione aggiornata da Andrei Ivanes su giovedì 20 luglio 2006

Indietro . . . .