Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Mytob.IM.1
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:54.272 字节
MD5 校检和:9b16f25a914a4be3494e31c523f37eb9
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 电子邮件
   • 局域网络


别名:
   •  Symantec: W32.Mytob.JW@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.x
   •  TrendMicro: WORM_MYTOB.KW
   •  Sophos: W32/Mytob-Fam
   •  Eset: Win32/Mytob.KS
   •  Bitdefender: Win32.Worm.Mytob.LN


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 阻止对安全网站的访问
   • 植入恶意文件
   • 使用自置的电子邮件引擎
   • 注册表修改
   • 利用软件漏洞
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %SYSDIR%\taskman.exe
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr



创建以下文件:

– C:\hellmsn.exe 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Mytob.F.1

 注册表 会在无限循环中连续添加以下注册表项,以便在重新引导之后运行进程。

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WINTASKMAN"="taskman.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "WINTASKMAN"="taskman.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "WINTASKMAN"="taskman.exe"



会添加以下注册表项目注册值:

– HKCU\Software\Microsoft\OLE
   • "WINTASKMAN"="taskman.exe"

– HKLM\SOFTWARE\Microsoft\Ole
   • "WINTASKMAN"="taskman.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASKMAN"="taskman.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "WINTASKMAN"="taskman.exe"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址
– 程序生成的地址


主题:
以下某项内容:
   • %随机字符串%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



正文:
– 在有些情况下,它可能是空的。

 
电子邮件的正文如以下某行所示:
   • %随机字符串%
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.


附件:
附件的文件名包含以下内容:

–  其开头是以下某项内容:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %随机字符串%

    使用以下其中项文件扩展名 :
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

该附件是恶意软件本身的副本。

该附件是包含恶意软件本身副本的存档。



电子邮件如下所示:


 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • wab


为 TO (“收件人”) 和 FROM (“发件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

它会将此字符串与以下列表中的域组合在一起,或者与在系统上的文件内找到的地址中的域组合在一起

该域是以下某个域:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


前面追加 MX 字符串:
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。


漏洞攻击:
– MS04-011 (LSASS 漏洞)


IP 地址生成:
它会创建随机 IP 地址,但会保留自己地址的前两个八位位组。 之后,它会尝试与所创建的地址建立连接。


感染进程:
在被入侵的计算机上创建 FTP 脚本,以便将恶意软件下载到远程位置。

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: 66.235.**********
端口: 8000
服务器密码: stfupofskthx
通道: #hell#
昵称: [I]%随机字符串%
密码: JOIN



– 此恶意软件能够搜集并发送以下信息:
    • 恶意软件运行时间


– 而且,它能够进行此般操作:
    • 下载文件
    • 执行文件
    • 自行更新

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,现有项目会被删除。

– 阻挡以下域名的访问:
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.microsoft.com
   • www.trendmicro.com




修改后的hosts 文件将如下所示:


 后门程序 会打开以下端口:

– %SYSDIR%\msmgrxp.exe 在 TCP 端口上 10027 以便提供 FTP 服务器。

 其他 Mutex:
它会创建以下 Mutex:
   • H-E-L-L-B-O-T

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Irina Boldea op dinsdag 7 maart 2006
Beschrijving bijgewerkt door Irina Boldea op maandag 5 juni 2006

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.