Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Agobot.97918
Data em que surgiu:13/12/2012
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:97.918 Bytes
MD5 checksum:445882B3C915350B29735DF1C8169ECB
Verso VDF:7.11.53.216

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Mytob.HL@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.bw
   •  TrendMicro: WORM_MYTOB.IJ
   •  F-Secure: W32/Mytob.IQ@mm
   •  VirusBuster: I-Worm.Mytob.JF
   •  Bitdefender: Backdoor.SDBot.E0549F1E


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Utiliza o seu prprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\svchosts.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"



Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,69,00,76,\
   • 00,01,00,00,00,01,00,00,00
   • "DeleteFlag"=dword:00000001



So adicionadas as seguintes chaves ao registo:

[HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
– Endereos gerados


Assunto:
Um dos seguintes:
   • *DETECTED* Online User Violation
   • *WARNING* YOUR EMAIL ACCOUNT IS SUSPENDED
   • Email Account Suspension
   • Important Notification
   • Members Support
   • NOTICE OF ACCOUNT LIMITATION
   • Security measures
   • Warning Message: Your services near to be closed.
   • We have suspended your account
   • You are banned!!!
   • Your Account is Suspended
   • YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS

O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
– Contm cdigo HTML.
O corpo do email um dos seguintes:

   • Dear %recipients domain% Member,
     We have temporarily suspended your email account %conta da aplicao de e-mail %.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %recipients domain% account.
     Sincerely,The %recipients domain% Support Team

   • Dear %recipients domain% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     Virtually yours,
     The %recipients domain% Support Team

   • Some information about your %recipients domain% account is attached.
     The %recipients domain% Support Team


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • account-details.zip
   • account-info.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • important-details.zip
   • information.zip
   • readme.zip

O ficheiro de atalho uma cpia do malware.



O email pode ser parecido com um dos seguintes:




 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .wab; .html; .adb; .tbb; .dbx; .asp; .php; .xml; .cgi; .jsp; .sht;
      .htm


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • accounts
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.


Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • "accoun"; "certific"; "listserv"; "ntivi"; "support"; "icrosoft";
      "admin"; "page"; "the.bat"; "gold-certs"; "feste"; "submit"; "not";
      "help"; "service"; "privacy"; "somebody"; "soft"; "contact"; "site";
      "rating"; "bugs"; "you"; "your"; "someone"; "anyone"; "nothing";
      "nobody"; "noone"; "webmaster"; "postmaster"; "samples"; "info";
      "root"; "mozilla"; "utgers.ed"; "tanford.e"; "pgp"; "acketst";
      "secur"; "isc.o"; "isi.e"; "ripe."; "arin."; "sendmail"; "rfc-ed";
      "ietf"; "iana"; "usenet"; "fido"; "linux"; "kernel"; "google";
      "ibm.com"; "fsf."; "gnu"; "mit.e"; "bsd"; "math"; "unix"; "berkeley";
      "foo."; ".mil"; "gov."; ".gov"; "ruslis"; "nodomai"; "mydomai";
      "example"; "inpris"; "borlan"; "sopho"; "panda"; "hotmail"; "msn.";
      "icrosof"; "syma"; "avp"; ".edu"; "abuse"; "abuse"


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm o primeiro octeto do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.


Processo de infeco:
Cria um script FTP na mquina infectada para permitir o download do malware da mquina atacante.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: time.sanalcheh**********.com
Porta: 7745
Canal #zebra
Nickname: akira-%random chracter string%



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Utilizador Actual
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Capacidade da memria
    • Directrio do Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS ICMP floods
     Lana DDoS SYN floods
    • Lana DDoS TCP floods
     Lana DDoS UDP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Activa partilhas de rede
    • Executa o ficheiro
     Executa pesquisas na rede
    • Redireccionamento de porta
    • Reinicia
     Inicia a rotina de propagao
     Actualiza-se a ele prprio
    • Upload de ficheiros

 Backdoor  aberta a seguinte porta:

%SYSDIR%\svchosts.exe numa porta TCP aleatria Por forma a fornecer um servidor FTP.

 Roubos de informao Tenta roubar a seguinte informao:

iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • paypal
   • PAYPAL

– Captura:
     Teclar

iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • paypal.com
   • PAYPAL.COM

 Captura:
     Informao de login

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Borland C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • PE Pack 1.0

Descrição enviada por Andrei Gherman em terça-feira, 30 de agosto de 2005
Descrição atualizada por Andrei Gherman em quarta-feira, 31 de agosto de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.