Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Mytob.KH
Scoperto:09/10/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:37.888 Byte
Somma di controllo MD5:641f2da941507529f31d86c2a2ba0A06
Versione VDF:6.32.00.69

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Email-Worm.Win32.Fanbot.f
   •  F-Secure: W32/Mytob.MT@mm
   •  Grisoft: I-Worm/Mytob.MC
   •  VirusBuster: Email-Worm.Win32.Fanbot.f
   •  Bitdefender: Win32.Fanbot.F@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Disattiva le applicazioni di sicurezza
   • Duplica un file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

L'immagine stata modificata per la visualizzazione.

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%valori esadecimali%.tmp



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %TEMPDIR%\tmp%valori esadecimali%.tmp
   • %TEMPDIR%\Setup\CXMO%numero%.exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



Viene creato il seguente file:

C:\Shell.sys Questo un file di testo non maligno con il seguente contenuto:
   • fuck!!!
     The Active Windows Title: %processi con finestre visibili%

 Registro Viene cambiata la seguente chiave di registro:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Il mittente dell'email uno dei seguenti:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

In alcuni casi l'oggetto pu anche essere vuoto.
Inoltre la riga delloggetto pu contenere delle lettere casuali.


Corpo dell'email:
 Il corpo della mail costruito utilizzando una regolare espressione.
–  In alcuni casi pu essere vuoto.
–  In alcuni casi pu contenere caratteri casuali.


Il corpo dellemail come uno dei seguenti:

   • Dear user %Nome utente dell'account email%,
     It has come to our attention that your receiver's %dominio del mittente% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %dominio del mittente%!
     The %dominio del mittente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del mittente% Antivirus - www.%dominio del mittente%

   • Dear %dominio del mittente% Member,
     We have temporarily suspended your email account %indirizzo email del ricevente%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %dominio del mittente% account.
     Sincerely,The %dominio del mittente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del mittente% Antivirus - www.%dominio del mittente%

   • Dear %dominio del mittente% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %dominio del mittente%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %dominio del mittente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del mittente% Antivirus - www.%dominio del mittente%

   • Dear user %Nome utente dell'account email%,
     You have successfully updated the password of your %dominio del mittente%account.
     If you did not authorize this change or if you need assistance with your account, please contact %dominio del mittente% customer service at: %indirizzo email del mittente%
     Thank you for using %dominio del mittente%!
     The %dominio del mittente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %dominio del mittente% Antivirus - www.%dominio del mittente%


File allegato:
Il nome del file allegato uno dei seguenti:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %stringa di caratteri casuale%

    L'estensione del file una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato una copia del malware stesso.



L'email pu presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacit di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: SmallPhantom.3322.**********
Canale: #xiaoyu

Server: SmallPhantom.meibu.**********
Canale: #xiaoyu



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Velocit della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • ID della piattaforma
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Attivit locale dell'utente
    • Directory di Windows
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     Lanciare un attacco DdoS SYN
     Lancia un attacco DdoS UDP
     disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
     Effettuare scansione della rete
    • Riavviare il sistema
    • Inviare email
    • Arrestare il sistema
     Inizia keylog
     Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo
     Aggiornarsi
    • Carica un file
     Visitare un sito web

 Host L'host del file viene modificato come spiegato:

In questo caso i dati immessi gi esistenti non vengono modificati.

L'accesso ai seguenti domini effettivamente bloccato:
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




L'host del file modificato sar del tipo:


 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
 Le password inserite nei campi di input password
 Le password registrate utilizzate dalla funzione di completamento automatico

Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di tracciamento:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– Cattura:
     Battute di tastiera
     Informazioni della finestra

 Varie Mutex:
Crea il seguente Mutex:
   • [Phantom]

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • LCC WIN32 1.x

Descrizione inserita da Monica Ghitun su venerdì 23 novembre 2007
Descrizione aggiornata da Andrei Gherman su martedì 27 novembre 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.