PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Mytob.KH
発見日:09/10/2005
タイプワーム
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ37.888 バイト
MD5 チェックサム641f2da941507529f31d86c2a2ba0A06
VDFファージョン:6.32.00.69

 一般情報 感染方法
   • Eメール


別名
   •  McAfee(マカフィー) W32/Mytob.gen@MM
   •  Kaspersky(カスペルスキー) Email-Worm.Win32.Fanbot.f
   •  F-Secure(エフ・セキュア) W32/Mytob.MT@mm
   •  Grisoft I-Worm/Mytob.MC
   •  ウイルスバスター Email-Worm.Win32.Fanbot.f
   •  ビットディフェンダー(Bitdefender): Win32.Fanbot.F@mm


プラットフォーム/OS:
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 特定のウェブサイトへのアクセスを無効にします。
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • セキュリティ・アプリケーションを無効にします。
   • ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール


起動後以下の情報が表示されます:

画像は表示の関係で編集されています:

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%hex値%.tmp



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %TEMPDIR%\tmp%hex値%.tmp
   • %TEMPDIR%\Setup\CXMO%番号% .exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



以下のファイルが作成されます:

– C:\Shell.sys これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • fuck!!!
     The Active Windows Title: %目に見えるウインドウのあるプロセス%

 レジストリ 以下のレジストリ・キーは変更されます:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新しい値
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 Eメール それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:


送信者
メールの送信者は以下の通りです:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス


件名
以下のもの:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

件名は空欄のままになっていることもあります。
件名はランダムな文字列になっていることもあります。


本文
–  これはregular expressionで構成されます.
–  空欄であることもあります。
–  本文はランダムな文字列を含むこともあります。


メールの本文は以下のうちのどれかです:

   • Dear user %メール・アカウントのユーザ名%,
     It has come to our attention that your receiver's %送信者のドメイン% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %送信者のドメイン%!
     The %送信者のドメイン% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %送信者のドメイン% Antivirus - www.%送信者のドメイン%

   • Dear %送信者のドメイン% Member,
     We have temporarily suspended your email account %受信者のメールアドレス%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %送信者のドメイン% account.
     Sincerely,The %送信者のドメイン% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %送信者のドメイン% Antivirus - www.%送信者のドメイン%

   • Dear %送信者のドメイン% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %送信者のドメイン%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %送信者のドメイン% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %送信者のドメイン% Antivirus - www.%送信者のドメイン%

   • Dear user %メール・アカウントのユーザ名%,
     You have successfully updated the password of your %送信者のドメイン%account.
     If you did not authorize this change or if you need assistance with your account, please contact %送信者のドメイン% customer service at: %送信者のメールアドレス%
     Thank you for using %送信者のドメイン%!
     The %送信者のドメイン% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %送信者のドメイン% Antivirus - www.%送信者のドメイン%


添付ファイル
添付ファイルの名前は:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %ランダムな文字列%

    ファイル拡張子は以下のうちのどれかです:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

添付ファイルは、マルウェア自身のコピーです。



メールは以下のうちのどれかであることもあります:



 送信 アドレスの検索:
以下のファイルからメールアドレスを検索します:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


TO欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

この結果に、先ほどアドレスを検索されたファイルの中に見つかったドメインをつなげます。


アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ SmallPhantom.3322.**********
チャンネル #xiaoyu

サーバ SmallPhantom.meibu.**********
チャンネル #xiaoyu



– このマルウェアは以下の情報を収集し送る能力があります:
    • CPU速度
    • ログインしているユーザ
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • プラットフォームID
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ユーザーネーム
    • ユーザーのローカル活動
    • ウインドウズ・ディレクトリ
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • IRCサーバと接続します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • 実行ファイル
    • IRCチャンネルに入室する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • システム再起動
    • メールを送る
    • システムをシャットダウンする
    • キーログの開始
    • 伝染ルーチンの開始
    • マルウェアを終了する
    • プロセスを終了する
    • それ自身をアップデートします。
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

 ホスト ホストファイルは以下のように改変されます:

– この場合、存在する登録情報は変更されません。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




改変されたホストファイルの外見は以下のようになります。


 窃盗 以下の情報を盗もうとします:
– パスワード入力箇所に入力されたパスワード
– オートコンプリート機能を利用して記録されたパスワード

– 以下の文字列と合致するキー入力がされると、ログインを開始します:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– 取り込むのは:
    • キー入力
    • ウインドウ情報

 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • [Phantom]

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • LCC WIN32 1.x

説明の挿入者 Monica Ghitun の 2007年11月23日金曜日
説明の更新者 Andrei Gherman の 2007年11月27日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。