Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Wootbot.135451
Scoperto:09/01/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:135.451 Byte
Somma di controllo MD5:fcc1ddae2e3508f2217f9f9bef957258
Versione VDF:6.33.00.104

 Generale Metodo di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32/Mytob.gen@MM
   •  Sophos: W32/Forbot-FG
   •  Grisoft: I-Worm/Mytob.LW
   •  VirusBuster: I-Worm.Mytob.KJ
   •  Eset: Win32/Mytob.IL


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\smsks.exe

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Services Manual Contrl"="smsks.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Microsoft Services Manual Contrl"="smsks.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria infezione o addirittura potrebbe non essere infetto. In pi si potrebbero ricevere email bounce che diranno che si infetti. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended



Corpo dell'email:
Il corpo dellemail come uno dei seguenti:

   • Dear %nome a dominio del ricevente dall'indirizzo email% Member,
     We have temporarily suspended your email account %indirizzo email del ricevente%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome a dominio del ricevente dall'indirizzo email% account.
     Sincerely,The %nome a dominio del mittente dall'indirizzo email% Support Team

   • Dear%nome a dominio del ricevente dall'indirizzo email% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome a dominio del mittente dall'indirizzo email% Support Team

   • Some information about your %nome a dominio del ricevente dall'indirizzo email% account is attached.
     The %nome a dominio del mittente dall'indirizzo email% Support Team


File allegato:
Il nome del file allegato uno dei seguenti:
   • readme.zip
   • document.zip
   • account-report.zip
   • account-info.zip
   • email-details.zip
   • account-details.zip
   • important-details.zip
   • information.zip

L'allegato un archivio che contiene una copia del malware stesso.



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; txt; tmp


Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • register
   • mail
   • administrator
   • service



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacit di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilit:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: %indirizzo IP casuale%



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Velocit della CPU
    • Utente corrente
     Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     Lanciare un attacco DdoS ICMP
     Lanciare un attacco DdoS SYN
     Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Terminare il processo
    • Eseguire un attacco DdoS
     Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
     Registrare un servizio
    • Riavviare il sistema
    • Inviare email
     Aggiornarsi

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\smsks.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

 Sottrazione di informazioni  Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=; card=; cctype=;
      ccnumber=; amex=; visa=; mastercard=; VISA=; pass=; login=; password=;
      passwd=; :.login; :!login; :.secure; :!advscan; :.advscan; :.ipscan;
      :!ident; :.ident

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su martedì 15 agosto 2006
Descrizione aggiornata da Irina Boldea su mercoledì 16 agosto 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.