病毒:Worm/Mytob.LV
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:75.352 字节
MD5 校检和:1e4fc81df4a3ef13e3c57debf258b1c5
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 电子邮件
   • 局域网络


别名:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Backdoor.Win32.Aimbot.bf
   •  TrendMicro: WORM_MYTOB.NC
   •  Sophos: W32/Mytob-FV
   •  Eset: Win32/Mytob.ND
   •  Bitdefender: Backdoor.Aimbot.BF

它之前被检测为:
   •  Worm/SdBot.108032


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 植入恶意文件
   • 使用自置的电子邮件引擎
   • 降低系统安全设置
   • 注册表修改
   • 利用软件漏洞
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %WINDIR%\sqlsrv.exe



它会删除其本身最初执行的副本。



创建以下文件:

– %SYSDIR%\rofl.sys 用于隐藏进程。 检测为: BDS/Aimbot.AF.5

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– HKLM\SYSTEM\CurrentControlSet\Services\MSSQL2K6
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\sqlsrv.exe"
   • "DisplayName"="MSSQL"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%十六进制值%
   • "Description"="Microsoft SQL Server"



会添加以下注册表项目注册值:

– HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



会更改以下注册表项:

– HKLM\SOFTWARE\Microsoft\Security Center
   旧值:
   • "AntiVirusDisableNotify"=%用户定义的设置%
   • "FirewallDisableNotify"=%用户定义的设置%
   • "UpdatesDisableNotify"=%用户定义的设置%
   • "AntiVirusOverride"=%用户定义的设置%
   • "FirewallOverride"=%用户定义的设置%
   新值:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

停用 Windows 防火墙:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   旧值:
   • "EnableFirewall"=%用户定义的设置%
   新值:
   • "EnableFirewall"=dword:00000000

停用 Windows 防火墙:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   旧值:
   • "EnableFirewall"=%用户定义的设置%
   新值:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   旧值:
   • "AUOptions"=%用户定义的设置%
   新值:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   旧值:
   • "restrictanonymous"=%用户定义的设置%
   新值:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   旧值:
   • "AutoShareWks"=%用户定义的设置%
   • "AutoShareServer"=%用户定义的设置%
   新值:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   旧值:
   • "AutoShareWks"=%用户定义的设置%
   • "AutoShareServer"=%用户定义的设置%
   新值:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   旧值:
   • "DoNotAllowXPSP2"=%用户定义的设置%
   新值:
   • "DoNotAllowXPSP2"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   旧值:
   • "EnableDCOM"=%用户定义的设置%
   新值:
   • "EnableDCOM"="N"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址
– 程序生成的地址


主题:
以下某项内容:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

主题可能包含随机字母。


正文:
电子邮件的正文如下所示:

   • Dear %来自电子邮件地址的收件人域名% Member,
     We have temporarily suspended your email account %收件人的电子邮件地址%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %来自电子邮件地址的收件人域名% account.
     Sincerely,The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%

   • Dear user %来自收件人电子邮件地址的用户名% ,
     You have successfully updated the password of your %来自电子邮件地址的收件人域名% account.
     If you did not authorize this change or if you need assistance with your account, please contact %来自电子邮件地址的发件人域名% customer service at: %发件人的电子邮件地址%
     Thank you for using%来自电子邮件地址的发件人域名%!
     The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%

   • Dear%来自电子邮件地址的收件人域名% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus found
     +++%来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%

   • Dear user %来自收件人电子邮件地址的用户名% ,
     It has come to our attention that your %来自电子邮件地址的发件人域名% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %来自电子邮件地址的发件人域名% !
     The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%


附件:
附件的文件名是以下某个名称:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %随机字符串%.zip

该附件是包含恶意软件本身副本的存档。



电子邮件如下所示:


 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; txt; tmp


为 FROM (“发件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



为 TO (“收件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


前面追加 MX 字符串:
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • IPC$
   • d$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


它使用以下登录信息来访问远程计算机:

–利用 NetBEUI 功能收搜用户名和密码。

– 用户名和密码列表:
   • admin; root; 01; 111; 123; 1234; 12345; 123456; 654321; !@; $; !@; $%;
      !@; $%^; !@; $%^&; asdf; asdfgh; server



漏洞攻击:
它会利用以下漏洞攻击:
– MS02-061 (SQL Server Web 中的权限提升)
– MS03-026 (RPC 接口中的缓冲区溢出)
– MS03-039 (RPCSS 服务中的缓冲区溢出)
– MS03-049 (工作站服务中的缓冲区溢出)
– MS04-007 (ASN.1 漏洞)
– MS04-011 (LSASS 漏洞)
– MS05-039 (即插即用中的漏洞)


感染进程:
在被入侵的计算机上创建 FTP 脚本,以便将恶意软件下载到远程位置。


远程执行:

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: Btx.ha**********
端口: 46352
通道: #reptob
昵称: [P00|USA|%五位数的随机字符串%]

服务器: Btx.ha**********
端口: 46352
通道: #reptob-s
昵称: [P00|USA|%五位数的随机字符串%]



– 此恶意软件能够搜集并发送类似如下信息:
    • CPU 速度
    • 当前用户
    • 有关驱动程序的详细信息
    • 可用磁盘空间
    • 可用内存
    • 有关网络的信息
    • 运行中进程的信息
    • 内存大小
    • 用户名
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 关闭网络文件共享
    • 下载文件
    • 编辑注册表
    • 启用网络共享
    • 执行文件
    • 结束进程
    • 打开远程 Shell
    • 执行网络扫描
    • 关闭系统
    • 启动传播例程
    • 终止恶意软件
    • 终止进程
    • 自行更新

 进程终止  关闭的服务列表:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 后门程序 访问服务器:
以下所有内容:
   • http://test.anonproxies.com/cgi-bin/**********
   • http://www21.big.or.jp/~mana_/**********
   • http://www.motor21.net/**********
   • http://www.xyerror.x-y.net/**********
   • http://www21.tok2.com/home/sophia/cgi-bin/**********


 其他  通过访问以下网站来检查 Internet 连接:
   • http://windowsupdate.microsoft.com/

 Rootkit 技术 它使用特定的恶意软件技术。 该恶意软件会对系统实用程序和安全应用程序隐藏其自身,并且最终会对用户隐藏其自身。


隐藏以下内容:
– 它自身的进程

 文件详细信息 编程语言:
 该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Irina Boldea   2006년 5월 9일 화요일
설명 업데이트 Irina Boldea   2006년 5월 9일 화요일

뒤로 . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

내 계정

https:// 이 창은 보안을 위해 암호화되었습니다.