English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Mytob.AQ
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
Worm/Mytob.AQ - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Mytob.AQ
発見日:
11/04/2005
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
49.281 バイト
MD5 チェックサム
27b0742be50E872f06d04bb2df094556
VDFファージョン:
6.30.00.85
- Mon, 11 Apr 2005 20:15 (GMT+1)
一般情報
感染方法
• Eメール
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Mytob.AM@mm
• Kaspersky(カスペルスキー) Net-Worm.Win32.Mytob.w
• TrendMicro(トレンドマイクロ) WORM_MYTOB.AI
• Grisoft I-Worm/Mytob.AF
• ウイルスバスター I-Worm.Mytob.AK
• ビットディフェンダー(Bitdefender): Win32.Worm.Mytob.W
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• 悪意ファイルを作成します。
• それ自身のメール・エンジンを利用します。
• レジストリの改変。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\XpFirewall.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%TEMPDIR%
\tmp
%hex 数字%
.tmp
– C:\hellmsn.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました:
Worm/Mytob.F.1
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Windows Service XP = XpFirewall.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• Windows Service XP = XpFirewall.exe
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Windows Service XP = XpFirewall.exe
以下のレジストリ・キーが追加されます:
– [HKCU\Software\Microsoft\OLE]
• Windows Service XP = XpFirewall.exe
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• Windows Service XP = XpFirewall.exe
– [HKLM\SOFTWARE\Microsoft\Ole]
• Windows Service XP = XpFirewall.exe
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• Windows Service XP = XpFirewall.exe
Eメール
それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。
宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス
件名
以下のもの:
• Good day
• hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status
• Error
件名はランダムな文字列になっていることもあります。
本文
– 本文はランダムな文字列を含むこともあります。
メールの本文は以下の通りです:
• Here are your banks documents.
• The original message was included as an attachment.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.
添付ファイル
添付ファイルの名前は以下のものから構成されています:
– 以下のうちのどれかで始まります:
• document
• readme
• doc
• text
• file
• data
• test
• message
• body
ファイル拡張子は以下のうちのどれかです:
• .pif
• .scr
• .exe
• .cmd
• .bat
• .zip
メールは以下のうちのどれかであることもあります:
送信
アドレスの検索:
以下のファイルからメールアドレスを検索します:
• txt
• htmb
• shtl
• php
• asp
• dbx
• tbb
• adb
• wab
FROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
• john; alex; michael; james; mike; kevin; david; george; sam; andrew;
jose; leo; maria; jim; brian; serg; mary; ray; tom; peter; robert;
bob; jane; joe; dan; dave; matt; steve; smith; stan; bill; bob; jack;
fred; ted; adam; brent; madmax; anna; brenda; claudia; debby; helen;
jerry; jimmy; julie; linda; bush; britney; lolita; sandra
これに以下の表のドメイン、あるいはシステム上のファイルの中に見つかったアドレスのドメインをつなげます。
ドメインは以下の通りです:
• aol.com
• msn.com
• yahoo.com
• juno.com
• fbi.gov
• cia.gov
アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
• avp; syma; icrosof; panda; sopho; borlan; inpris; example; mydomai;
nodomai; ruslis; .gov; gov.; .mil; foo.; berkeley; unix; math; bsd;
mit.e; gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana;
ietf; rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst;
pgp; tanford.e; utgers.ed; mozilla; root; info; samples; postmaster;
webmaster; noone; nobody; nothing; anyone; someone; your; you; bugs;
rating; site; contact; soft; somebody; privacy; service; help; not;
submit; feste; gold-certs; the.bat; page; admin; icrosoft; support;
ntivi; unix; bsd; linux; listserv; certific; google; accoun; spm;
fcnz; www; secur; abuse
MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
• mx.
• mail.
• smtp.
• mx1.
• mxs.
• mail1.
• relay.
• ns.
• gate.
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ 213.115.201.**********
ポート: 6667
チャンネル #hell#
ニックネーム [I]
%ランダムな文字列%
パスワード .<kizzy>
– このマルウェアは以下の情報を収集し送る能力があります:
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
• システム再起動
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は変更されません。
– 以下のドメインへのアクセスは効果的に無効にされています。
• www.symantec.com; securityresponse.symantec.com; symantec.com;
www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
my-etrust.com; www.my-etrust.com; download.mcafee.com;
dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
update.symantec.com; updates.symantec.com; us.mcafee.com;
liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
trendmicro.com; www.microsoft.com; www.trendmicro.com
改変されたホストファイルの外見は以下のようになります。
バックドア
以下のポートが開かれます:
– XpFirewall.exe TCPポートに 10087 FTPサーバを供給するため
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• H-E-L-L-B-O-T
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Fri, 21 Apr 2006 08:41 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 21 Apr 2006 12:53 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
