Nome del virus:Worm/Mytob.JH
Scoperto:01/08/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:83.489 Byte
Somma di controllo MD5:cf9d8ca63bda4ba74f33b96dcd6e929e
Versione VDF:6.31.01.40

 Generale Metodo di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32/Mytob.gen@MM
   •  Sophos: W32/Forbot-FG
   •  Grisoft: I-Worm/Mytob.LW
   •  VirusBuster: I-Worm.Mytob.KJ
   •  Eset: Win32/Mytob.IL


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\wrmana32.exe

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows NetDDe"="wrmana32.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows NetDDe"="wrmana32.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows NetDDe"="wrmana32.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Windows NetDDe"="wrmana32.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Windows NetDDe"="wrmana32.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • Dear %nome a dominio del ricevente dall'indirizzo email% Member,
     We have temporarily suspended your email account %indirizzo email del ricevente%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome a dominio del ricevente dall'indirizzo email% account.
     Sincerely,The %nome a dominio del mittente dall'indirizzo email% Support Team

   • Dear%nome a dominio del ricevente dall'indirizzo email% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome a dominio del mittente dall'indirizzo email% Support Team

   • Some information about your %nome a dominio del ricevente dall'indirizzo email% account is attached.
     The %nome a dominio del mittente dall'indirizzo email% Support Team


File allegato:
Il nome del file allegato è uno dei seguenti:
   • readme.zip
   • document.zip
   • account-report.zip
   • account-info.zip
   • email-details.zip
   • account-details.zip
   • important-details.zip
   • information.zip

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; txt; tmp


Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • register
   • mail
   • administrator
   • service



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: mystery.m0r**********
Porta: 6667
Canale: #forb0t
Nickname: elite-%stringa casuale di sette caratteri%
Password: false



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Terminare il processo
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Registrare un servizio
    • Riavviare il sistema
    • Inviare email
    • Aggiornarsi

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\wrmana32.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

 Sottrazione di informazioni – Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=; card=; cctype=;
      ccnumber=; amex=; visa=; mastercard=; VISA=; pass=; login=; password=;
      passwd=; :.login; :!login; :.secure; :!advscan; :.advscan; :.ipscan;
      :!ident; :.ident

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su martedì 15 agosto 2006
Descrizione aggiornata da Irina Boldea su martedì 15 agosto 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.