PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Mytob.MC.1
発見日:17/03/2006
タイプワーム
感染報告有りはい
感染報告
感染の可能性中~高
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ108.032 バイト
MD5 チェックサムb9beb39484e6742f8d2a1825429e2ca4
VDFファージョン:6.34.00.64

 一般情報 感染方法
   • Eメール
   • ローカル・ネットワーク


別名
   •  Kaspersky: Backdoor.Win32.SdBot.xd
   •  TrendMicro: WORM_MYTOB.NF
   •  Sophos: W32/Dolebot-A
   •  Bitdefender: Backdoor.SDBot.AHV

以前に以下のように検知されました:
   •  Worm/SdBot.108032


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\skype32.exe



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

%SYSDIR%\rofl.sys 以下のように検出されました: BDS/Aimbot.AF.5

 レジストリ 以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– HKLM\SYSTEM\CurrentControlSet\Services\Skype
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\skype32.exe
   • "DisplayName"="Skype Messenger"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex値%
   • "Description"="Skype Messenger Service"



以下のレジストリ・キーが追加されます:

– HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



以下のレジストリ・キーは変更されます:

– HKLM\SOFTWARE\Microsoft\Security Center
   前の値
   • "AntiVirusDisableNotify"=%ユーザ設定%
   • "FirewallDisableNotify"=%ユーザ設定%
   • "UpdatesDisableNotify"=%ユーザ設定%
   • "AntiVirusOverride"=%ユーザ設定%
   • "FirewallOverride"=%ユーザ設定%
   新しい値
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

ウインドウズ のFirewall(防火壁)を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   前の値
   • "EnableFirewall"=%ユーザ設定%
   新しい値
   • "EnableFirewall"=dword:00000000

ウインドウズ のFirewall(防火壁)を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   前の値
   • "EnableFirewall"=%ユーザ設定%
   新しい値
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   前の値
   • "AUOptions"=%ユーザ設定%
   新しい値
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   前の値
   • "restrictanonymous"=%ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   前の値
   • "AutoShareWks"=%ユーザ設定%
   • "AutoShareServer"=%ユーザ設定%
   新しい値
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   前の値
   • "AutoShareWks"=%ユーザ設定%
   • "AutoShareServer"=%ユーザ設定%
   新しい値
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   前の値
   • "DoNotAllowXPSP2"=%ユーザ設定%
   新しい値
   • "DoNotAllowXPSP2"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   前の値
   • "EnableDCOM"=%ユーザ設定%
   新しい値
   • "EnableDCOM"="N"

 Eメール それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:


送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。


宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス


件名
以下のもの:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

件名はランダムな文字列になっていることもあります。


本文
メールの本文は以下のうちのどれかです:

   • Dear %メールアドレスから取られた受信者のドメイン名% Member,
     We have temporarily suspended your email account %受信者のメールアドレス%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %メールアドレスから取られた受信者のドメイン名% account.
     Sincerely,The %メールアドレスから取られた送信者のドメイン名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %メールアドレスから取られた送信者のドメイン名% Antivirus - www.%メールアドレスから取られた送信者のドメイン名%

   • Dear user %受信者のメールアドレスから取られたユーザ名% ,
     You have successfully updated the password of your %メールアドレスから取られた受信者のドメイン名% account.
     If you did not authorize this change or if you need assistance with your account, please contact %メールアドレスから取られた送信者のドメイン名% customer service at: %送信者のメールアドレス%
     Thank you for using%メールアドレスから取られた送信者のドメイン名%!
     The %メールアドレスから取られた送信者のドメイン名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %メールアドレスから取られた送信者のドメイン名% Antivirus - www.%メールアドレスから取られた送信者のドメイン名%

   • Dear%メールアドレスから取られた受信者のドメイン名% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %メールアドレスから取られた送信者のドメイン名% Support Team
     
     +++ Attachment: No Virus found
     +++%メールアドレスから取られた送信者のドメイン名% Antivirus - www.%メールアドレスから取られた送信者のドメイン名%

   • Dear user %受信者のメールアドレスから取られたユーザ名% ,
     It has come to our attention that your %メールアドレスから取られた送信者のドメイン名% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %メールアドレスから取られた送信者のドメイン名% !
     The %メールアドレスから取られた送信者のドメイン名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %メールアドレスから取られた送信者のドメイン名% Antivirus - www.%メールアドレスから取られた送信者のドメイン名%


添付ファイル
添付ファイルの名前は:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %ランダムな文字列%.zip

添付ファイルはそのマルウェアのコピーを含むアーカイブです。



メールは以下のようなものです:


 送信 アドレスの検索:
以下のファイルからメールアドレスを検索します:
   • adb; asp; cfg; cgi; dbx; htm; html; jsp; mdb; msg; php; sht; tbb; txt;
      vbe; vbs; xml


FROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



TO欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 ネットワーク感染 感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。


エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
– MS03-026 (RPC インターフェイスのバッファ オーバーランによりコードが実行される)
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
– MS04-011 (LSASSの脆弱性)
– MS05-039 (プラグ・アンド・プレイの脆弱性)

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ tx.ha**********
ポート: 43287
チャンネル #dfnctsc
ニックネーム [P00|USA|%5桁のランダムな文字列%]



– このマルウェアは以下の情報を収集し送る能力があります:
    • ネットワークについての情報
    • 起動中のプロセスについての情報


– その他以下のアクションを実行することもできます:
    • ダウンロード・ファイル
    • 実行ファイル
    • プロセスを強制終了する
    • ネットワーク・スキャンの実行
    • システムをシャットダウンする
    • 伝染ルーチンの開始
    • マルウェアを終了する
    • プロセスを終了する
    • それ自身をアップデートします。

 プロセス中断  以下のサービスは無効にされます:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 バックドア サーバに接続します。
以下のもの:
   • http://test.anonproxies.com/cgi-bin/**********
   • http://www21.big.or.jp/~mana_/**********
   • http://www.motor21.net/**********
   • http://www.xyerror.x-y.net/**********
   • http://www21.tok2.com/home/sophia/cgi-bin/**********


 ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。


以下のものを隠します:
– それ自身のプロセス

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Irina Boldea の 2006年3月13日月曜日
説明の更新者 Irina Boldea の 2006年3月20日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。