Nome del virus:Worm/Mytob.EU.1
Scoperto:10/07/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:61.440 Byte
Somma di controllo MD5:7f190C5c0271904bdf0D26ccec0B3b53
Versione VDF:6.35.00.142

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.eu


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

L'immagine è stata modificata per la visualizzazione.

 File Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\tmp%numero esadecimale%.tmp

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
L’indirizzo del mittente è l'account Outlook dell'utente.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Hello
   • Hi
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status
   • Test

Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi può contenere caratteri casuali.


Il corpo dell’email è come uno dei seguenti:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %stringa di caratteri casuale%

    Seguito da una delle seguenti estensioni fasulle:
   • zip
   • bat
   • cmd
   • exe
   • pif
   • scr

L'allegato è una copia del malware stesso.

L'allegato è un archivio che contiene una copia del malware stesso.



L'email può presentarsi come una delle seguenti:




 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; tbb; dbx; php; sht; htm; txt; tmp; pl; asp


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; fred; george; helen; jack; james; jane;
      jerry; jim; jimmy; joe; john; jose; julie; kevin; leo; linda; maria;
      mary; matt; michael; mike; peter; ray; robert; sam; sandra; serg;
      smith; stan; steve; ted; tom; %stringa di caratteri casuale%

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; msn; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      you; your


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Daniel Constantin su mercoledì 9 agosto 2006
Descrizione aggiornata da Daniel Constantin su mercoledì 9 agosto 2006

Indietro . . . .