English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Mytob.NA
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
Worm/Mytob.NA - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Mytob.NA
発見日:
02/02/2006
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
74.752 バイト
MD5 チェックサム
164a5066eb3e94586cba0F1086e3fe05
VDFファージョン:
6.33.00.184
- Thu, 02 Feb 2006 08:38 (GMT+1)
一般情報
感染方法
• Eメール
• ローカル・ネットワーク
別名
• Kaspersky(カスペルスキー) Trojan-Dropper.Win32.Delf.nk
以前に以下のように検知されました:
• TR/Drop.Delf.NK.171
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• それ自身のメール・エンジンを利用します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%WINDIR%
\updatewin
• C:\funny_pic.scr
• C:\see_this.scr
• C:\my_photo2005.scr
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%TEMPDIR%
\tmp
%hex 数字%
.tmp
– C:\hellmsn.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました:
Worm/Mytob.F.1
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• WINTASK DLL32 = updatewin
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• WINTASK DLL32 = updatewin
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• WINTASK DLL32 = updatewin
以下のレジストリ・キーが追加されます:
– [HKCU\Software\Microsoft\OLE]
• WINTASK DLL32 = updatewin
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• WINTASK DLL32 = updatewin
– [HKLM\SOFTWARE\Microsoft\Ole]
• WINTASK DLL32 = updatewin
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• WINTASK DLL32 = updatewin
Eメール
それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
送信者
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。
宛先:
– システム内のあるファイルにあるメールアドレス
– 作成されたアドレス
件名
以下のもの:
• Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• hello
• Good day
件名は空欄のままになっていることもあります。
本文
– 本文はランダムな文字列を含むこともあります。
メールの本文は以下の通りです:
• Mail transaction failed. Partial message is available.
• The message contains Unicode characters and has been sent as a binary attachment.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The original message was included as an attachment.
• Here are your banks documents.
添付ファイル
添付ファイルの名前は以下のものから構成されています:
• body
• message
• test
• data
• file
• text
• doc
• readme
• document
• .bat
• .cmd
• .exe
• .scr
• .pif
• .zip
添付ファイルは、マルウェア自身のコピーです。
メールは以下のうちのどれかであることもあります:
送信
アドレスの検索:
以下のファイルからメールアドレスを検索します:
• wab
• adb
• tbb
• dbx
• asp
• php
• sht
• htm
FROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
• sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
sam; george; david; kevin; mike; james; michael; alex; john
これに以下の表のドメイン、あるいはシステム上のファイルの中に見つかったアドレスのドメインをつなげます。
ドメインは以下の通りです:
• hotmail.com
• cia.gov
• fbi.gov
• juno.com
• yahoo.com
• msn.com
• aol.com
アドレスを作成するのに以下の文字列を使用します:
• sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
sam; george; david; kevin; mike; james; michael; alex; john
アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
• accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
the.bat; gold-certs; feste; submit; not; help; service; privacy;
somebody; soft; contact; site; rating; bugs; you; your; someone;
anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
inpris; borlan; sopho; panda; icrosof; syma; avp; -._!; -._!@; abuse;
www; fcnz; spm; .edu
MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
• gate.
• ns.
• relay.
• mail1.
• mxs.
• mx1.
• smtp.
• mail.
• mx.
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ 202.83.165.**********
ポート: 6668
チャンネル #Hell
ニックネーム [I]
%ランダムな文字列%
– このマルウェアは以下の情報を収集し送る能力があります:
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
• それ自身をアップデートします。
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は変更されません。
– 以下のドメインへのアクセスは効果的に無効にされています。
• www.symantec.com; securityresponse.symantec.com; symantec.com;
www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
my-etrust.com; www.my-etrust.com; download.mcafee.com;
dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
update.symantec.com; updates.symantec.com; us.mcafee.com;
liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
trendmicro.com; www.microsoft.com; www.trendmicro.com
改変されたホストファイルの外見は以下のようになります。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• H-E-L-L-B-O-T
信頼出来るファイルであるふりをします。
それに属するプロセスは以下の信頼できるプロ セスであるふりをします。
%PROGRAM FILES%
\internet explorer\iexplore.exe
ご注意: マルウェアはイコンも偽造します。マルウェアがあたかも上記のプロセスであるかのよう なふりをします。
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Thu, 02 Feb 2006 17:05 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Mon, 20 Feb 2006 09:45 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
