Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusBDS/Fanbot.B
Data em que surgiu:13/12/2012
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:37.888 Bytes
MD5 checksum:a1e3737d0b5dd6ee3fdb84170b8f7ab8
Versão VDF:7.11.53.216

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Backdoor.Win32.Fanbot.b
   •  TrendMicro: WORM_MYTOB.KV
   •  F-Secure: W32/Mytob.MI@mm
   •  Bitdefender: Backdoor.Fanbot.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurança
   • Descarrega um ficheiro
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\Phantom.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

– c:\Shell.sys O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="userinit.exe,Phantom.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe Phantom.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated

O assunto pode, também, ter caracteres aleatórios.


Corpo:

   • Dear user % nome de utilizador do endereço de e-mail do destinatário%,
     
     You have successfully updated the password of your %nome de domínio do endereço de e-mail do destinatário% account.
     
     If you did not authorize this change or if you need assistance with your account, please contact %nome de domínio do endereço de e-mail do destinatário% customer service at: %endereço de e-mail do remetente%
     
     Thank you for using %nome de domínio do endereço de e-mail do destinatário%!
     The %nome de domínio do endereço de e-mail do destinatário% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   •
     Dear user % nome de utilizador do endereço de e-mail do destinatário%,
     
     It has come to our attention that your %nome de domínio do endereço de e-mail do destinatário% User Profile ( x ) records are out of date. For further details see the attached document.
     
     Thank you for using %nome de domínio do endereço de e-mail do destinatário%!
     The %nome de domínio do endereço de e-mail do destinatário% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   •
     Dear %nome de domínio do endereço de e-mail do destinatário% Member,
     
     We have temporarily suspended your email account %endereço de e-mail do destinatário%.
     
     This might be due to either of the following reasons:
     
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome de domínio do endereço de e-mail do destinatário% account.
     
     Sincerely,The %nome de domínio do endereço de e-mail do destinatário% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   •
     Dear %nome de domínio do endereço de e-mail do destinatário% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     
     Virtually yours,
     The %nome de domínio do endereço de e-mail do destinatário% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus found
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www..%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %uma série de caracteres aleatórios%

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm; txt


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support

Pode combinar a primeira cadeia de caracteres com o seguinte:
   • %nome de domínio do endereço de e-mail do destinatário%



Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Pode combinar a primeira cadeia de caracteres com o seguinte:
   • %nome de domínio do endereço de e-mail do destinatário%



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; be_loyal:; slashdot; sourceforge;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; support; messagelabs; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********.3322.org
Canal #xiaoyu
Nickname: [Phantom]%uma série de caracteres aleatórios%



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Endereços de E-mail recolhidos
    • Velocidade do CPU
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Abre ligações remotas
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia o keylog
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros
    • Visita um Web site

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • jiangmin.com
   • www.jiangmin.com
   • Update2.JiangMin.com
   • Update3.JiangMin.com
   • rising.com.cn
   • www.rising.com.cn
   • online.rising.com.cn
   • iduba.net
   • www.iduba.net
   • kingsoft.com
   • db.kingsoft.com
   • scan.kingsoft.com
   • kaspersky.com.cn
   • www.kaspersky.com.cn
   • symantec.com.cn
   • www.symantec.com.cn
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.pandaguard.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.amazon.com
   • www.amazon.co.uk
   • www.amazon.ca
   • www.amazon.fr
   • www.paypal.com
   • paypal.com
   • moneybookers.com
   • www.moneybookers.com
   • www.ebay.com
   • ebay.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Informações diversas Mutex:
Cria o seguinte Mutex:
   • [Phantom]


Texto:
Além disso tem o seguinte texto:
   • [Phantom] 2005 by Evil[xiaoyu](2005.10.04). Special Thanks: x140d4n(my real&&best friend&&brother!!!).

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PEPack

Descrição enviada por Razvan Olteanu em terça-feira, 11 de outubro de 2005
Descrição atualizada por Razvan Olteanu em quarta-feira, 30 de novembro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.