English
Deutsch
Home
Virus Info
Worm/Mytob.IN.2
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Mytob.IN.2 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Mytob.IN.2
発見日:
31/08/2005
タイプ
ワーム
感染報告有り
はい
感染報告
中
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
48.766 バイト
MD5 チェックサム
27AB71805C9FA8447C787E50843ECEB5
VDFファージョン:
6.31.01.50
- Tue, 02 Aug 2005 16:44 (GMT+1)
一般情報
感染方法
• Eメール
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Mytob.C@mm
• Kaspersky(カスペルスキー) Net-Worm.Win32.Mytob.c
• ビットディフェンダー(Bitdefender): Worm.Mytob.C
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• それ自身のメール・エンジンを利用します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\wfdmgr.exe
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "LSA"="wfdmgr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "LSA"="wfdmgr.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "LSA"="wfdmgr.exe"
以下のレジストリ・キーが追加されます:
– [HKCU\Software\Microsoft\OLE]
• "LSA"="wfdmgr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "LSA"="wfdmgr.exe"
– [HKLM\SOFTWARE\Microsoft\Ole]
• "LSA"="wfdmgr.exe"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "LSA"="wfdmgr.exe"
Eメール
それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
送信者
送信者のアドレスは改変されています(spoof)。
宛先:
– システム内のあるファイルにあるメールアドレス
– 作成されたアドレス
件名
以下のもの:
• hello
• hi
• error
• status
• test
• Mail Transaction Failed
• Mail Delivery System
• SERVER REPORT
件名は空欄のままになっていることもあります。
件名はランダムな文字列になっていることもあります。
本文
– 空欄であることもあります。
– 本文はランダムな文字列を含むこともあります。
メールの本文は以下の通りです:
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.
• test
• The message contains Unicode characters and has been sent as a binary attachment.
添付ファイル
添付ファイルの名前は以下のものから構成されています:
– 以下のうちのどれかで始まります:
• body
• data
• doc
• document
• file
• message
• readme
• test
• text
•
%ランダムな文字列%
ファイル拡張子は以下のうちのどれかです:
• .bat
• .cmd
• .exe
• .pif
• .scr
• .zip
メールは以下のうちのどれかであることもあります:
送信
アドレスの検索:
以下のファイルからメールアドレスを検索します:
• .wab
• .adb
• .tbb
• .dbx
• .asp
• .php
• .sht
• .htm
TO欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
• sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
james; michael; alex; john
この結果に、先ほどアドレスを検索されたファイルの中に見つかったドメインをつなげます。
アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
• "accoun"; "certific"; "listserv"; "ntivi"; "support"; "icrosoft";
"admin"; "page"; "the.bat"; "gold-certs"; "feste"; "submit"; "not";
"help"; "service"; "privacy"; "somebody"; "soft"; "contact"; "site";
"rating"; "bugs"; "you"; "your"; "someone"; "anyone"; "nothing";
"nobody"; "noone"; "webmaster"; "postmaster"; "samples"; "info";
"root"
MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
• gate.
• ns.
• relay.
• mail1.
• mxs.
• mx1.
• smtp.
• mail.
• mx.
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ irc.black**********.net
ポート: 6667
チャンネル #d3
ニックネーム
%ランダムな文字列%
パスワード yakuza
– このマルウェアは以下の情報を収集し送る能力があります:
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
バックドア
以下のポートが開かれます:
–
%SYSDIR%
\wfdmgr.exe 無作為に選ばれたTCPポート上に FTPサーバを供給するため
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• D66
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• Neolite
• UPX
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Wed, 31 Aug 2005 16:10 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Tue, 14 Mar 2006 08:29 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Netsky.HB
TR/Crypt.CFI.Gen
Worm/Netsky.D.Dam
W32/Elkern.C
Worm/Mytob.AT
TR/Dldr.Winlagons.BN
TR/ATRAPS.Gen
TR/Dialer.22352.B
TR/Dldr.Adload.MA.3
TR/Dldr.Small.gkm.1
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
