Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/IRCBot.37888
Data em que surgiu:13/12/2012
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:37.888 Bytes
MD5 checksum:0575728fe6f970936ea90143db389596
Verso VDF:7.11.53.216

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  TrendMicro: WORM_MYTOB.KX
   •  Bitdefender: Backdoor.Fanbot.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Bloqueia o acesso a Web sites de segurana
   • Utiliza o seu prprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\Phantom.exe
   • %SYSDIR%\Phantom.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%raiz da unidade de sistema%\shell.sys O ficheiro contm informao das teclas pressionadas.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe Phantom.exe"
   • "Userinit"="userinit.exe,Phantom.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • *DETECTED* ONLINE USER VIOLATION
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSED.
   • You have successfully updated your password
   • Your Account is Suspended
   • YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • YOUR PASSWORD HAS BEEN SUCCESSFULLY UPDATED
   • Your password has been updated

O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
– Contm cdigo HTML.


O corpo do email um dos seguintes:

   • Dear user % nome de utilizador do endereo de e-mail do destinatrio%,
     
     You have successfully updated the password of your %nome de domnio do endereo de e-mail do destinatrio% account.
     If you did not authorize this change or if you need assistance with your account, please contact %nome de domnio do endereo de e-mail do destinatrio% customer service at: admin@%nome de domnio do endereo de e-mail do destinatrio%
     
     Thank you for using %nome de domnio do endereo de e-mail do destinatrio%!
     
     The %nome de domnio do endereo de e-mail do destinatrio% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domnio do endereo de e-mail do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%

   •
     Dear user % nome de utilizador do endereo de e-mail do destinatrio%,
     
     It has come to our attention that your %nome de domnio do endereo de e-mail do destinatrio% User Profile ( x ) records are out of date.
     For further details see the attached document.Thank you for using %nome de domnio do endereo de e-mail do destinatrio%!
     
     The %nome de domnio do endereo de e-mail do destinatrio% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domnio do endereo de e-mail do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%

   • Dear %nome de domnio do endereo de e-mail do destinatrio% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week.
      If you could please take 5-10 minutes out of your online experience and confirm the attached document
     so you will not run into any future problems with the online service.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     
     Virtually yours,
     The %nome de domnio do endereo de e-mail do destinatrio% Support Team
     
     +++ Attachment: No Virus found
     +++ %nome de domnio do endereo de e-mail do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%

   • Dear %nome de domnio do endereo de e-mail do destinatrio% Member,
     We have temporarily suspended your email account %endereo de e-mail do destinatrio%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome de domnio do endereo de e-mail do destinatrio% account.
     
     Sincerely,The %nome de domnio do endereo de e-mail do destinatrio% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domnio do endereo de e-mail do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • document.zip
   • email-password.zip
   • important-details.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %uma srie de caracteres aleatrios%

O ficheiro de atalho uma cpia do malware.



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm; txt; doc


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.

Exemplos de endereos gerados
   • webmaster@%nome de domnio do endereo de e-mail do destinatrio%
   • register@%nome de domnio do endereo de e-mail do destinatrio%


Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.

Exemplos de endereos gerados
   • alex@%nome de domnio do endereo de e-mail do destinatrio%
   • sandra@%nome de domnio do endereo de e-mail do destinatrio%


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: SmallPhantom.**********.org
Porta: 6667
Canal #xiaoyu

Servidor: SmallPhantom.**********.com
Porta: 6667
Canal #xiaoyu



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
     Detalhes acerca dos drivers
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Platform ID
    • Capacidade da memria
    • Directrio de sistema
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS SYN floods
     Lana DDoS UDP floods
     Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligao ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Abre ligaes remotas
     Inicia o keylog
    • Termina o malware
    • Termina processos
     Actualiza-se a ele prprio
    • Upload de ficheiros

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

Neste caso no haver alteraes.

O acesso aos seguintes domnios redireccionado para outros destinos:
   • jiangmin.com
   • www.jiangmin.com
   • Update2.JiangMin.com
   • Update3.JiangMin.com
   • rising.com.cn
   • www.rising.com.cn
   • online.rising.com.cn
   • iduba.net
   • www.iduba.net
   • kingsoft.com
   • db.kingsoft.com
   • scan.kingsoft.com
   • kaspersky.com.cn
   • www.kaspersky.com.cn
   • symantec.com.cn
   • www.symantec.com.cn
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.pandaguard.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.amazon.com
   • www.amazon.co.uk
   • www.amazon.ca
   • www.amazon.fr
   • www.paypal.com
   • paypal.com
   • moneybookers.com
   • www.moneybookers.com
   • www.ebay.com
   • ebay.com




O ficheiro hospedeiro (alterado) ter a seguinte aparncia:


 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • [Phantom]

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • PE Pack 1.0

Descrição enviada por Catalin Jora em terça-feira, 11 de outubro de 2005
Descrição atualizada por Catalin Jora em quarta-feira, 19 de outubro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.