English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Mytob.CA
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Mytob.CA - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Mytob.CA
発見日:
21/04/2005
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
131.355 バイト
MD5 チェックサム
a5fafea463cc3f51075fc694d6b3e000
VDFファージョン:
6.30.00.123
- Thu, 21 Apr 2005 09:23 (GMT+1)
一般情報
感染方法
• Eメール
• ローカル・ネットワーク
• 割り当てられたネットワーク・ドライブ
別名
• Symantec(シマンテック) W32.Randex.gen
• Kaspersky(カスペルスキー) Net-Worm.Win32.Mytob.aj
• TrendMicro(トレンドマイクロ) WORM_MYTOB.CI
• F-Secure(エフ・セキュア) Net-Worm.Win32.Mytob.aj
• Sophos(ソフォス) W32/Mytob-CD
• Panda W32/Mytob.BR.worm
• Grisoft I-Worm/Mydoom
• ウイルスバスター I-Worm.Mytob.BU
• Eset Win32/Mytob.BS
• ビットディフェンダー(Bitdefender): Win32.Worm.Mytob.AK
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• 悪意ファイルを作成します。
• それ自身のメール・エンジンを利用します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\taskgmr.exe
•
%SYSDIR%
\winnet.exe
• C:\meonvaca.scr
• C:\mecrazyface.scr
• C:\melookingfunny.scr
以下のファイルが作成されます:
– C:\hellmsn.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました:
Worm/Mytob.F.1
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WINTASK" = "taskgmr.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "WINTASK" = "taskgmr.exe"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "WINTASK" = "taskgmr.exe"
以下のレジストリ・キーが追加されます:
– HKCU\Software\Microsoft\OLE
• "WINTASK" = "taskgmr.exe"
– HKLM\SOFTWARE\Microsoft\Ole
• "WINTASK" = "taskgmr.exe"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WINTASK" = "taskgmr.exe"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WINTASK" = "taskgmr.exe"
Eメール
それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。
宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス
件名
以下のもの:
•
%ランダムな文字列%
• Error
• Good day
• hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status
本文
– 本文はランダムな文字列を含むこともあります。
メールの本文は以下の通りです:
• Here are your banks documents.
• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• The original message was included as an attachment.
添付ファイル
添付ファイルの名前は以下のものから構成されています:
– 以下のうちのどれかで始まります:
• body
• data
• doc
• document
• file
• message
• readme
• test
• text
•
%ランダムな文字列%
ファイル拡張子は以下のうちのどれかです:
• bat
• cmd
• exe
• scr
• pif
• zip
添付ファイルは、マルウェア自身のコピーです。
添付ファイルはそのマルウェアのコピーを含むアーカイブです。
メールは以下のようなものです:
送信
アドレスの検索:
以下のファイルからメールアドレスを検索します:
• adb; asp; dbx; doc; htm; php; sht; tbb; tmp; txt; wab
TO欄とFROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
• adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
robert; sam; sandra; serg; smith; stan; steve; ted; tom
これに以下の表のドメイン、あるいはシステム上のファイルの中に見つかったアドレスのドメインをつなげます。
ドメインは以下の通りです:
• hotmail.com
• cia.gov
• fbi.gov
• juno.com
• yahoo.com
• msn.com
• aol.com
アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
• -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
sendmail; service; site; soft; somebody; someone; sopho; submit;
support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
www; you; your
MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
• gate.
• mail.
• mail1.
• mx.
• mx1.
• mxs.
• ns.
• relay.
• smtp.
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• Admin$\system32\
• Admin$\
• ipc$\system32\
• ipc$\
• print$\system32\
• print$\
• c$\winnt\system32\
• c$\
• d$\
• lwc$\
• NETLOGON\
• SYSVOL\
• profiles$\
• e$\
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
–キャッシュに入ったユーザ名とパスワード
– ユーザ名とパスワードの表:
• 000; 0000; 00000; 000000; 00000000; 007; 0wn3d; 0wned; 110; 111; 111;
111111; 11111111; 11111111; 121; 121212; 123; 123123; 123321; 1234;
12345; 123456; 1234567; 12345678; 123456789; 12346; 123467; 1234678;
12346789; 123467890; 1234qwer; 123abc; 123asd; 123qwe; 2002; 2003;
2600; 54321; 54321; 54321; 654321; 654321; aaa; abc; abc123; abcd;
ACCESS; access; account; accounts; adm; admin; ADMIN; Admin; admin123;
Administrador; Administrateur; administrator; ADMINISTRATOR;
Administrator; guest; GUEST; Guest; pass; pass123; pass1234; passphra;
passwd; password; PASSWORD; Password; password1; password123; unknown;
Unknown; user; USER; User; user1; usermane; username; userpassword;
win; win2000; win2k; win98; windose; windows; windows2k; windows95;
windows98; windowsME; WindowsXP; windowz; windoze; windoze2k;
windoze95; windoze98; windozeME; windozexp; wine; wing; winnt;
winpass; winston; winxp; wired; xxx; xxxx; xxxxx; xxxxxx; xxxxxxx;
xxxxxxxx; xxxxxxxxx; 121; 007; test; none; changeme; default; system;
server; null; qwerty; mail; outlook; web; www; internet; accounts;
accounting; home; homeuser; user; user1; oem; oemuser; qaz; asd; qwe;
mike; john; peter; luke; ron; sam; barbara; mary; sue; susan; joan;
joe; peter; fred; frank; brian; spencer; lee; neil; ian; george;
bruce; kate; katie; login; loginpass; owa; sage; technical; backup;
exchange; exchnge; fuck; sex; god; hell; fish; heaven; orange; domain;
domainpass; domainpassword; database; access; dbpass; dbpassword;
databasepass; data; databasepassword; db1; db1234; sql; sqlpass;
cisco; dell; compaq; siemens; yellow; pink; control; mass; office;
blank; winpass; capitol; userpassword; main; headoffice; ctx; nokia;
lan; internet; intranet; bill; fred; freddy; glen; turnip; afro;
user1; student; student1; teacher; staff; oeminstall; root; Root;
ROOT; CISCO; Cisco
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
リモート実行:
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ hell.ins**********
ポート: 7000
チャンネル #hell
ニックネーム [I]
%ランダムな文字列%
パスワード inf3rno
– このマルウェアは以下の情報を収集し送る能力があります:
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
• それ自身をアップデートします。
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は削除されます。
– 以下のドメインへのアクセスは効果的に無効にされています。
• www.symantec.com; securityresponse.symantec.com; symantec.com;
www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
my-etrust.com; www.my-etrust.com; download.mcafee.com;
dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
update.symantec.com; updates.symantec.com; us.mcafee.com;
liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
trendmicro.com; www.microsoft.com; www.trendmicro.com
改変されたホストファイルの外見は以下のようになります。
バックドア
以下のポートが開かれます:
–
%SYSDIR%
\taskgmr.exe TCPポートに 10087 FTPサーバを供給するため
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• H-E-L-L-B-O-T
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PE Encryptor 1.13
簡単な説明は
ココ
にあります。.
この説明は Irina Boldea によって Wed, 29 Mar 2006 16:40 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Wed, 19 Apr 2006 11:00 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
