Nome del virus:Worm/Mydoom.CJ
Scoperto:18/08/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:No
Dimensione del file:~22.000 Byte
Versione VDF:6.39.01.16
Versione IVDF:6.39.01.17 - sabato 18 agosto 2007

 Generale Metodo di propagazione:
   • Email


Alias:
   •  F-Secure: Email-Worm:W32/Mytob.FP
   •  Grisoft: I-Worm/Mydoom.DH


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\mzupdate.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %TEMPDIR%\tmp%numero esadecimale%.tmp



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\tmp%numero esadecimale%.tmp

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • mzupdate = %SYSDIR%\mzupdate.exe

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • RE: hey, how are ya?
   • RE: long time no see!
   • Urgent Announcement
   • Important Announcement
   • RE: hey, hows it going?
   • RE: Your details
   • Hey, congratulations!
   • RE: You have been Approved

In alcuni casi l'oggetto può anche essere vuoto.
Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi può essere vuoto.
–  In alcuni casi può contenere caratteri casuali.


Il corpo dell’email è come uno dei seguenti:
   • See attached document for details.
   • Please see attached document for more information.
   • This message could not be displayed. It has been attached to this email instead.
   • Please open the attached document. It contains important information.


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • Readme
   • UrgentInfo
   • Details
   • New_Message
   • New_Document
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • .exe
   • .zip

L'allegato è una copia del malware stesso.

L'allegato è un archivio che contiene una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      maria; leo; jose; andrew; george; david; kevin; mike; sam; james;
      john; jim; jack

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; .edu;
      -._!; -._!@; abuse; www


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Backdoor Contatta il server:
Il seguente:
   • io.phat********** : 7001



Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Cancella il file
    • Download di file
    • Eseguire file
    • Terminare il malware

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Petite

Descrizione inserita da Andrei Gherman su lunedì 20 agosto 2007
Descrizione aggiornata da Andrei Gherman su lunedì 20 agosto 2007

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.