Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Mytob.LQ
Data em que surgiu:13/12/2012
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:26.156 Bytes
MD5 checksum:10fadc6f6dc2ff2e5b006630dd2a3952
Versão VDF:7.11.53.216

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.bi
   •  TrendMicro: WORM_MYTOB.MU
   •  F-Secure: W32/Mytob.PI@mm
   •  VirusBuster: iworm I-Worm.Mytob.OC
   •  Bitdefender: Win32.Worm.MyTob.CX


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\windbg32.exe

 Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS Debugger"="windbg32.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS Debugger"="windbg32.exe"



O seguinte valor do registo é alterado:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=dword:00000004

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • *IMPORTANT* Winnings notification
   • Claim Your Free 4GB iPod nano!
   • Claim your free prize
   • Free Account Signup
   • Free Prize.
   • Important Notification
   • Notice of prize winnings
   • Retrive You Free iPod Nano!
   • Sending Free iPod measures
   • Shipping Address Request (YourFreeiPod.com)
   • Your Account is a winner
   • YourFreeiPod Support
   • Winnings Claim

O assunto pode, também, ter caracteres aleatórios.


Corpo:
– Contém código HTML.
O corpo do email é um dos seguintes:

   • Dear user % nome de utilizador do endereço de e-mail do destinatário%,
     You have been picked to receive a free prize!
     Check the attachment in this email for claiming your prize.
     Thank you
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %domínio do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%

   • Dear user % nome de utilizador do endereço de e-mail do destinatário%,
     It has come to our attention that your one of five winners this month from YourFreeiPod.com
     Please see the attachment in the email for further details.
     Thank you for using YourFreeiPod.com!
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %domínio do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%
     

   • Dear %domínio do destinatário% Member,
     Please claim your free iPod Movie mediaplayer
     Us here at YourFreeiPod.com like to treat our members so we give away a free iPod every month.
     Attached to this email is the details on how you can claim your prize
     Sincerely,The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %domínio do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%
     

   • Dear %domínio do destinatário% Member,
     Your e-mail account was picked from an online site www.YourFreeiPod.com. Since we did pull your name from the hat you are intitled to receive FREE 4GB Black iPod Nano.
     Please read the attachment in this email for further instructions. If you choose to ignore our request, you leave us no choice but to forfeit your winnings.
     Virtually yours,
     The YourFreeiPod Team
     +++ Attachment: No Virus found Scanned with Nod32
     +++ %domínio do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accept-terms.zip
   • claim-infomation.zip
   • claim-prize.zip
   • document.zip
   • fat.zip
   • important-details.zip
   • merchandise.zip
   • readme.zip
   • ship-prize.zip
   • shipping-details.zip
   • terms.zip
   • winner-details.zip
   • winnings-report.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .wab; .adb; .tbb; .dbx; .asp; .php; .sht; .htm; .html; .pl; .txt;
      .xml; .cgi; .jsp


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .gov; .mil; abuse; accoun; acketst; admin; admin; administrator;
      anyone; arin.; avp; berkeley; borlan; bsd; bsd; bugs; certific;
      contact; example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs;
      google; google; gov.; help; hotmail; iana; ibm.com; icrosof; icrosoft;
      ietf; info; info; inpris; isc.o; isi.e; kernel; linux; linux;
      listserv; mail; math; mit.e; mozilla; msn.; mydomai; nobody; nodomai;
      noone; not; nothing; ntivi; page; panda; pgp; postmaster; privacy;
      rating; register; rfc-ed; ripe.; root; ruslis; samples; secur; secur;
      sendmail; service; service; site; soft; somebody; someone; sopho; spm;
      submit; support; support; syma; tanford.e; the.bat; unix; unix;
      usenet; utgers.ed; webmaster; webmaster; www; you; your


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tx.h**********.info
Porta: 59999
Canal #iPod
Nickname: %uma série de caracteres aleatórios%
Palavra-chave iPod



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Memória disponível
    • Tempo de vida do malware
    • Capacidade da memória
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Envia emails
    • Actualiza-se a ele próprio

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • iPod

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Daniel Constantin em segunda-feira, 12 de dezembro de 2005
Descrição atualizada por Daniel Constantin em terça-feira, 13 de dezembro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.