Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mytob.LQ
Data em que surgiu:13/12/2012
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:26.156 Bytes
MD5 checksum:10fadc6f6dc2ff2e5b006630dd2a3952
Verso VDF:7.11.53.216

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.bi
   •  TrendMicro: WORM_MYTOB.MU
   •  F-Secure: W32/Mytob.PI@mm
   •  VirusBuster: iworm I-Worm.Mytob.OC
   •  Bitdefender: Win32.Worm.MyTob.CX


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\windbg32.exe

 Registry (Registo do Windows) As chaves seguintes so adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS Debugger"="windbg32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS Debugger"="windbg32.exe"



O seguinte valor do registo alterado:

Desactiva a Firewall do Windows
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=dword:00000004

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • *IMPORTANT* Winnings notification
   • Claim Your Free 4GB iPod nano!
   • Claim your free prize
   • Free Account Signup
   • Free Prize.
   • Important Notification
   • Notice of prize winnings
   • Retrive You Free iPod Nano!
   • Sending Free iPod measures
   • Shipping Address Request (YourFreeiPod.com)
   • Your Account is a winner
   • YourFreeiPod Support
   • Winnings Claim

O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
– Contm cdigo HTML.
O corpo do email um dos seguintes:

   • Dear user % nome de utilizador do endereo de e-mail do destinatrio%,
     You have been picked to receive a free prize!
     Check the attachment in this email for claiming your prize.
     Thank you
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %domnio do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%

   • Dear user % nome de utilizador do endereo de e-mail do destinatrio%,
     It has come to our attention that your one of five winners this month from YourFreeiPod.com
     Please see the attachment in the email for further details.
     Thank you for using YourFreeiPod.com!
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %domnio do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%
     

   • Dear %domnio do destinatrio% Member,
     Please claim your free iPod Movie mediaplayer
     Us here at YourFreeiPod.com like to treat our members so we give away a free iPod every month.
     Attached to this email is the details on how you can claim your prize
     Sincerely,The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %domnio do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%
     

   • Dear %domnio do destinatrio% Member,
     Your e-mail account was picked from an online site www.YourFreeiPod.com. Since we did pull your name from the hat you are intitled to receive FREE 4GB Black iPod Nano.
     Please read the attachment in this email for further instructions. If you choose to ignore our request, you leave us no choice but to forfeit your winnings.
     Virtually yours,
     The YourFreeiPod Team
     +++ Attachment: No Virus found Scanned with Nod32
     +++ %domnio do destinatrio% Antivirus - www.%nome de domnio do endereo de e-mail do destinatrio%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accept-terms.zip
   • claim-infomation.zip
   • claim-prize.zip
   • document.zip
   • fat.zip
   • important-details.zip
   • merchandise.zip
   • readme.zip
   • ship-prize.zip
   • shipping-details.zip
   • terms.zip
   • winner-details.zip
   • winnings-report.zip

O ficheiro de atalho contm uma cpia do prprio malware.

 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .wab; .adb; .tbb; .dbx; .asp; .php; .sht; .htm; .html; .pl; .txt;
      .xml; .cgi; .jsp


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.


Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .gov; .mil; abuse; accoun; acketst; admin; admin; administrator;
      anyone; arin.; avp; berkeley; borlan; bsd; bsd; bugs; certific;
      contact; example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs;
      google; google; gov.; help; hotmail; iana; ibm.com; icrosof; icrosoft;
      ietf; info; info; inpris; isc.o; isi.e; kernel; linux; linux;
      listserv; mail; math; mit.e; mozilla; msn.; mydomai; nobody; nodomai;
      noone; not; nothing; ntivi; page; panda; pgp; postmaster; privacy;
      rating; register; rfc-ed; ripe.; root; ruslis; samples; secur; secur;
      sendmail; service; service; site; soft; somebody; someone; sopho; spm;
      submit; support; support; syma; tanford.e; the.bat; unix; unix;
      usenet; utgers.ed; webmaster; webmaster; www; you; your


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tx.h**********.info
Porta: 59999
Canal #iPod
Nickname: %uma srie de caracteres aleatrios%
Palavra-chave iPod



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Memria disponvel
    • Tempo de vida do malware
    • Capacidade da memria
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligao ao canal IRC
    • Abandona canais IRC
    • Envia emails
     Actualiza-se a ele prprio

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • iPod

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Daniel Constantin em segunda-feira, 12 de dezembro de 2005
Descrição atualizada por Daniel Constantin em terça-feira, 13 de dezembro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.