Full description

Vírus	Worm/Mytob.AD
Data em que surgiu:	13/12/2012
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	49.152 Bytes
MD5 checksum:	057e1a0Ec4443f5eeb83d9e44777c56f
Versão VDF:	7.11.53.216

Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local

Alias:
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.u
   • TrendMicro: WORM_MYTOB.AC
   • Sophos: W32/MyDoom-AJ
   • Grisoft: I-Worm/Mytob.AA
   • VirusBuster: I-Worm.Mytob.AC
   • Bitdefender: Win32.Worm.Mytob.AC

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\rnathchk.exe
   • C:\pic.scr
   • C:\see_this!.pif
   • C:\my_picture.scr

Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RealPlayer Ath Check" = "rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "RealPlayer Ath Check" = "rnathchk.exe"

São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\OLE]
   • "RealPlayer Ath Check" = "rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "RealPlayer Ath Check" = "rnathchk.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados

Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • MAIL TRANSACTION FAILED
   • SERVER REPORT
   • Status

O assunto pode, também, ter caracteres aleatórios.

Corpo:
O corpo do email tem uma das seguintes linhas:
   • Here are your banks documents.
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The original message was included as an attachment.

Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

– Texto aleatório
   • data
   • doc
   • document
   • file
   • message
   • body
   • readme
   • test
   • text
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • BAT
   • CMD
   • EXE
   • PIF
   • SCR
   • ZIP

O ficheiro de atalho é uma cópia do malware.

O email pode ser parecido com o seguinte:

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm

Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina isto com domínios encontrados numa lista ou endereços encontrados em ficheiros no sistema.

Tem um dos seguintes domínios:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com

Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • sandra; lolita; britney; bush; linda; julie; jimmy; jerry; helen;
      debby; claudia; brenda; anna; madmax; brent; adam; ted; fred; jack;
      bill; stan; smith; steve; matt; dave; dan; joe; jane; bob; robert;
      peter; tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew;
      sam; george; david; kevin; mike; james; michael; alex; john

Combina isto com domínios encontrados numa lista ou endereços encontrados em ficheiros no sistema.

Tem um dos seguintes domínios:
   • aol.com
   • cia.gov
   • fbi.gov
   • hotmail.com
   • juno.com
   • msn.com
   • yahoo.com

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • avp; syma; icrosof; panda; sopho; borlan; inpris; example; mydomai;
      nodomai; ruslis; .gov; gov.; .mil; foo.; berkeley; unix; math; bsd;
      mit.e; gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana;
      ietf; rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst;
      pgp; tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; bugs; rating; site; contact; soft; somebody; privacy; service;
      help; not; submit; feste; gold-certs; the.bat; page; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; google; accoun;
      spm; fcnz; www; secur; abuse

Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • gate
   • ns
   • mail
   • mx

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)

Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.

IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: spm.slo-partija.info
Porta: 48275
Palavra-chave do servidor: 57284
Canal #hb2
Nickname: [I]%uma série de caracteres aleatórios%
Palavra-chave sp4m

Servidor: spm.gobice.net
Porta: 48275
Palavra-chave do servidor: 57284
Canal #hb2
Nickname: [I]%uma série de caracteres aleatórios%
Palavra-chave sp4m

Servidor: egwf.wegberobpk.info
Porta: 48275
Palavra-chave do servidor: 57284
Canal #hb2
Nickname: [I]%uma série de caracteres aleatórios%
Palavra-chave sp4m

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Tempo de vida do malware

– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.microsoft.com
   • www.trendmicro.com
   • metalhead2005.info
   • irc.blackcarder.net
   • d66.myleftnut.info

O ficheiro hospedeiro (alterado) terá a seguinte aparência:

Informações diversas Mutex:
Cria o seguinte Mutex:
• I_FUCK_DEAD_PPL

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Victor Tone em terça-feira, 15 de novembro de 2005
Descrição atualizada por Victor Tone em quarta-feira, 23 de novembro de 2005

Voltar . . . .

Precisa consertar seu PC?

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas