Nome del virus:Worm/Mytob.125440
Scoperto:02/11/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:125.440 Byte
Somma di controllo MD5:c80091296c60572af6f300d4ceacd5e4
Versione VDF:6.36.00.205
Versione IVDF:6.36.00.225 - giovedì 2 novembre 2006

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  TrendMicro: WORM_MYTOB.JP
   •  Grisoft: I-Worm/Mytob.AMI
   •  VirusBuster: I-Worm.Omega.G
   •  Eset: Win32/Mytob.UZ


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\scvhost32.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINTASK"="scvhost32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="scvhost32.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\ProductName]
– [HKLM\SOFTWARE\ProductName\ProductID]
– [HKCU\Software\Microsoft\OLE]
   • "WINTASK"="scvhost32.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="scvhost32.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status

Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi può contenere caratteri casuali.
Il corpo dell’email è come uno dei seguenti:
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • Mail transaction failed. Partial message is available.
   • Here are your banks documents.
   • The original message was included as an attachment.
   • Mail transaction failed. Partial message %df% available.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Stringa casuale
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    L'estensione del file è una delle seguenti:
   • bat
   • scr
   • exe
   • cmd
   • pif
   • zip

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com

Qui si possono trovare degli esempi di indirizzi generati:
   • ethereal@scram.de
   • gerald@wireshark.org
   • kojak@yahoo.com
   • oabad@noos.fr
   • paolo.abeni@email.it
   • psfales@lucent.com
   • richard@soronlin.org.uk


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • IPC$


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS05-039 (Vulnerability in Plug and Play)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: fuck.randz.**********
Porta: 6667
Canale: #omega
Nickname: [OG]%stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Uptime del malware
    • Informazioni sulla rete


– In più ha la capacità di eseguire la seguente azione:
    • Eseguire file

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




L'host del file modificato sarà del tipo:


 Varie Mutex:
Crea il seguente Mutex:
   • omega

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su lunedì 13 novembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 13 novembre 2006

Indietro . . . .