English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Mytob.KV
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Mytob.KV - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Mytob.KV
発見日:
16/10/2005
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
71.680 バイト
MD5 チェックサム
1a579eaa603ac908f10E2ce4e3bdaf9b
VDFファージョン:
6.32.00.89
- Sun, 16 Oct 2005 20:57 (GMT+1)
一般情報
感染方法
• Eメール
• ローカル・ネットワーク
別名
• Kaspersky(カスペルスキー) Net-Worm.Win32.Mytob.q
• TrendMicro(トレンドマイクロ) WORM_MYTOB.X
• Sophos(ソフォス) W32/Mytob-R
• Grisoft I-Worm/Mytob.U
• ウイルスバスター I-Worm.Mytob.W!zip
• Eset Win32/Mytob.T
• ビットディフェンダー(Bitdefender): Win32.Worm.Mytob.S
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• 悪意ファイルを作成します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
ファイル
それ自体を以下の場所にコピーします。
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
•
%SYSDIR%
\nethell.exe
•
%SYSDIR%
\taskgmr.exe
– C:\hellmsn.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Mytob.F.1
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WINTASK" = "taskgmr.exe"
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WINTASK" = "taskgmr.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "WINTASK" = "taskgmr.exe"
以下のレジストリ・キーが追加されます:
– HKCU\Software\Microsoft\OLE
• "WINTASK" = "taskgmr.exe"
– HKLM\Software\Microsoft\OLE
• "WINTASK" = "taskgmr.exe"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WINTASK" = "taskgmr.exe"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WINTASK" = "taskgmr.exe"
Eメール
それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。
宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス
件名
以下のもの:
•
%ランダムな文字列%
• Error
• Good day
• hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status
本文
メールの本文は以下の通りです:
•
%ランダムな文字列%
• Here are your banks documents.
• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• The original message was included as an attachment.
添付ファイル
– 以下のうちのどれかで始まります:
• body
• data
• doc
• document
• file
• message
• readme
• test
• text
•
%ランダムな文字列%
ファイル拡張子は以下のうちのどれかです:
• bat
• cmd
• exe
• scr
• pif
• zip
添付ファイルは、マルウェア自身のコピーです。
メールは以下のようなものです:
送信
アドレスの検索:
以下のファイルからメールアドレスを検索します:
• adb; asp; dbx; doc; htm; php; sht; tbb; tmp; txt; wab
TO欄とFROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
• adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
robert; sam; sandra; serg; smith; stan; steve; ted; tom
これに以下の表のドメイン、あるいはシステム上のファイルの中に見つかったアドレスのドメインをつなげます。
ドメインは以下の通りです:
• hotmail.com
• cia.gov
• fbi.gov
• juno.com
• yahoo.com
• msn.com
• aol.com
アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
• -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
sendmail; service; site; soft; somebody; someone; sopho; submit;
support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
www; you; your
MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
• gate.
• mail.
• mail1.
• mx.
• mx1.
• mxs.
• ns.
• relay.
• smtp.
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• Admin$
• Admin$\system32
• c$
• c$\winnt\system32
• d$
• e$
• ipc$
• ipc$\system32
• lwc$
• NETLOGON
• print$
• print$\system32
• profiles$
• SYSVOL
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
–キャッシュに入ったユーザ名とパスワード
– ユーザ名とパスワードの表:
• Cisco; CISCO; ROOT; Root; oeminstall; staff; teacher; student1;
student; afro; turnip; glen; freddy; intranet; lan; nokia; ctx;
headoffice; main; capitol; blank; office; mass; control; pink; yellow;
siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
databasepassword; data; databasepass; dbpassword; dbpass; database;
domainpassword; domainpass; domain; orange; heaven; fish; hell; god;
sex; fuck; exchnge; exchange; backup; technical; sage; owa; loginpass;
login; katie; kate; bruce; ian; neil; lee; spencer; frank; joan;
susan; sue; barbara; ron; luke; qwe; asd; qaz; oemuser; oem; homeuser;
home; accounting; internet; web; outlook; mail; qwerty; null; server;
system; default; changeme; none; test; xxxxxxxxx; xxxxxxxx; xxxxxxx;
xxxxxx; xxxxx; xxxx; xxx; wired; winxp; winston; winpass; winnt; wing;
wine; windozexp; windozeME; windoze98; windoze95; windoze2k; windoze;
windowz; WindowsXP; windowsME; windows98; windows95; windows2k;
windows; windose; win98; win2k; win2000; win; userpassword; username;
usermane; user1; User; USER; user; Unknown; unknown; password123;
password1; Password; PASSWORD; password; passwd; passphra; pass1234;
pass123; pass; Guest; GUEST; guest; Administrator; ADMINISTRATOR;
administrator; Administrateur; Administrador; admin123; Admin; ADMIN;
adm; accounts; account; access; ACCESS; abcd; abc123; abc; aaa;
654321; 54321; 2600; 2003; 2002; 123qwe; 123asd; 123abc; 1234qwer;
123467890; 12346789; 1234678; 123467; 12346; 123456789; 12345678;
1234567; 123456; 12345; 1234; 123321; 123123; 123; 121212; 121;
11111111; 111111; 111; 110; 0wned; 0wn3d; 007; 00000000; 000000;
00000; 0000; 000
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ 19.**********or.biz
チャンネル #m-rl5
ニックネーム q[I]
%ランダムな文字列%
– このマルウェアは以下の情報を収集し送る能力があります:
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
• マルウェアを終了する
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は削除されます。
– 以下のドメインへのアクセスは効果的に無効にされています。
• www.symantec.com; securityresponse.symantec.com; symantec.com;
www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
my-etrust.com; www.my-etrust.com; download.mcafee.com;
dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
update.symantec.com; updates.symantec.com; us.mcafee.com;
liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
trendmicro.com; www.microsoft.com; www.trendmicro.com
改変されたホストファイルの外見は以下のようになります。
バックドア
以下のポートが開かれます:
–
%SYSDIR%
\taskgmr.exe TCPポートに 16542 FTPサーバを供給するため
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• ggmutexk2
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Irina Boldea によって Fri, 20 Jan 2006 10:50 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Fri, 20 Jan 2006 17:26 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
