Worm/Wootbot.117152 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Wootbot.117152
Scoperto:	01/03/2006
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	117.152 Byte
Somma di controllo MD5:	0e0261b06ec8d8aa1cb5ba6b986eb6fa
Versione VDF:	6.33.01.05

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Symantec: W32.Mytob@mm
   • Kaspersky: Backdoor.Win32.Wootbot.gen
   • TrendMicro: WORM_MYTOB.OP
   • Bitdefender: Win32.Worm.Mytob.X.Gen

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\WinApp32.exe

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Application 32"="WinApp32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Windows Application 32"="WinApp32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Application 32"="WinApp32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Windows Application 32"="WinApp32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Application 32"="WinApp32.exe"

Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Windows Application 32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="shit"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • Your Account is Suspended
   • *WARNING* Your email account is suspended
   • *DETECTED* Online User Violation
   • Your Account is Suspended For Security Reasons
   • Warning Message: Your services near to be closed.
   • Important Notification
   • Members Support
   • We have suspended your account
   • You are banned!!!
   • Security measures
   • Email Account Suspension
   • Notice of account limitation

Inoltre la riga dell’oggetto può contenere delle lettere casuali.

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • Some information about your %nome a dominio del ricevente dall'indirizzo email% account is attached.

     The %nome a dominio del ricevente dall'indirizzo email% Support Team

   • Dear %domain% Member,

     We have temporarily suspended your email account %domain%.

     This might be due to either of the following reasons:

     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %nome a dominio del ricevente dall'indirizzo email% account.

     Sincerely,The %nome a dominio del ricevente dall'indirizzo email% Support Team

   • Dear %nome a dominio del ricevente dall'indirizzo email% Member,

     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

     Virtually yours,
     The %nome a dominio del ricevente dall'indirizzo email% Support Team

File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

– Inizia con uno dei seguenti:
   • account-details
   • account-info
   • account-report
   • document
   • email-details
   • important-details
   • information
   • readme
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • zip

L'allegato è un archivio che contiene una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab

Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • support
   • administrator
   • accounts
   • mail
   • service
   • admin
   • info
   • register
   • webmaster

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.;
      help; hotmail; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris;
      isc.o; isi.e; kernel; linux; listserv; math; mit.e; mozilla; msn.;
      mydomai; nobody; nodomai; noone; not; nothing; ntivi; page; panda;
      pgp; postmaster; privacy; rating; rfc-ed; ripe.; root; ruslis;
      samples; secur; sendmail; service; site; soft; somebody; someone;
      sopho; spm; submit; support; syma; tanford.e; the.bat; unix; usenet;
      utgers.ed; webmaster; www; you; your

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
• IPC$

Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 64.125.**********
Porta: 6667
Canale: #exp

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Uptime del malware
    • Informazioni sulla rete
    • Dimensione della memoria
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Download di file
    • Aprire condivisione remota
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Riavviare il sistema
    • Inviare email
    • Arrestare il sistema
    • Iniziare procedura di diffusione

Backdoor – WinApp32.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.login; :!login; :!Login; :.Login; :.ident; :!ident; :.ipscan;
      :.advscan; :!advscan; :.secure; OPER; NICK; oper; USER; PASS; paypal;
      PAYPAL; passwd=; password=; login=; pass=; VISA=; mastercard=; visa=;
      amex=; ccnumber=; cctype=; card=; cvv2=; ccv2=; card=; CVV2=;
      address=; exp=; email=; account=; PAYPAL.COM; paypal.com

Varie Condivisioni di rete:
Verranno cancellate le seguenti condivisioni di rete:
   • c$
   • d$
   • ipc$
   • admin$

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• FSG

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Wed, 01 Mar 2006 17:40 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Thu, 02 Mar 2006 13:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back