Nume:Worm/Mytob.125440
Descoperit pe data de:02/11/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:125.440 Bytes
MD5:c80091296c60572af6f300d4ceacd5e4
Versiune VDF:6.36.00.205
Versiune IVDF:6.36.00.225 - giovedì 2 novembre 2006

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  TrendMicro: WORM_MYTOB.JP
   •  Grisoft: I-Worm/Mytob.AMI
   •  VirusBuster: I-Worm.Omega.G
   •  Eset: Win32/Mytob.UZ


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\scvhost32.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINTASK"="scvhost32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINTASK"="scvhost32.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\ProductName]
– [HKLM\SOFTWARE\ProductName\ProductID]
– [HKCU\Software\Microsoft\OLE]
   • "WINTASK"="scvhost32.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "WINTASK"="scvhost32.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINTASK"="scvhost32.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status

In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Uneori poate contine caractere aleatoare.
Corpul email-ului este unul din textele:
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • Mail transaction failed. Partial message is available.
   • Here are your banks documents.
   • The original message was included as an attachment.
   • Mail transaction failed. Partial message %df% available.


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

–  Sir de caractere aleator
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    Extensia fisierului este una din urmatoarele:
   • bat
   • scr
   • exe
   • cmd
   • pif
   • zip

Atasamentul este o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Creeaza adrese pentru campul expeditorului si al destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com

Iata cateva exemple de adrese generate:
   • ethereal@scram.de
   • gerald@wireshark.org
   • kojak@yahoo.com
   • oabad@noos.fr
   • paolo.abeni@email.it
   • psfales@lucent.com
   • richard@soronlin.org.uk


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • IPC$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: fuck.randz.**********
Port: 6667
Canal: #omega
Nick: [OG]%combinatie de caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea


– In plus, poate efectua urmatoarea operatie:
    • executarea unui fisier

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este blocat:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




Fisierul hosts modificat va arata astfel:


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • omega

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Adriana Popa su lunedì 13 novembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 13 novembre 2006

Indietro . . . .