Worm/Domwoot.A - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Domwoot.A
Scoperto:	02/04/2006
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	86.681 Byte
Somma di controllo MD5:	430720d43f3cbc50ebff844ef45211f3
Versione VDF:	6.34.00.127

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Kaspersky: Net-Worm.Win32.Domwoot.a
   • Bitdefender: Win32.Worm.Mytob.X.Gen

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\svchosts.exe

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):"%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valori esadecimali%
   • "DeleteFlag"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended

Inoltre la riga dell’oggetto può contenere delle lettere casuali.

Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come uno dei seguenti:

   • Dear %nome a dominio del ricevente dall'indirizzo email% Member,

     We have temporarily suspended your email account %indirizzo email del ricevente%.

     This might be due to either of the following reasons:

     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %nome a dominio del ricevente dall'indirizzo email% account.

     Sincerely,The %nome a dominio del ricevente dall'indirizzo email% Support Team

   • Dear %nome a dominio del ricevente dall'indirizzo email% Member,

     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

     Virtually yours,
     The %nome a dominio del ricevente dall'indirizzo email% Support Team

   • Some information about your %nome a dominio del ricevente dall'indirizzo email% account is attached.

     The %nome a dominio del ricevente dall'indirizzo email% Support Team

File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

– Stringa casuale
   • readme
   • document
   • account-report
   • account-info
   • account-details
   • email-details
   • important-details
   • information

    L'estensione del file è una delle seguenti:
   • zip

L'allegato è un archivio che contiene una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm

Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • admin
   • info
   • service
   • support
   • webmaster
   • register
   • mail
   • accounts
   • administrator

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      fcz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      hotmail; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o;
      isi.e; kernel; linux; listserv; math; mit.e; mozilla; msn.; mydomai;
      nobody; nodomai; noone; not; nothing; ntivi; page; panda; pgp;
      postmaster; privacy; rating; rfc-ed; ripe.; root; ruslis; samples;
      secur; sendmail; service; site; soft; somebody; someone; sopho; spam;
      submit; support; syma; tanford.e; the.bat; unix; usenet; utgers.ed;
      webmaster; www; you; your

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

“Infezione” della rete Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: irc.acidphreaks.**********
Porta: 6667
Canale: #g4

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Dimensione della memoria
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Riavviare il sistema
    • Inviare email
    • Carica un file

Backdoor Viene aperta la seguente porta:

– svchosts.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
      :!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
      PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
      card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
      login=; password=; passwd=; PAYPAL; paypal

Varie Condivisioni di rete:
Verranno cancellate le seguenti condivisioni di rete:
   • admin$
   • ipc$
   • d$
   • c$

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• nspack

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Mon, 03 Apr 2006 14:32 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Mon, 03 Apr 2006 16:43 (GMT+1)

» Informazioni sul malware
» Informazioni sul phishing
» Viruses In the Wild

« Indietro