Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mytob.MC.1
Data em que surgiu:17/03/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:108.032 Bytes
MD5 checksum:b9beb39484e6742f8d2a1825429e2ca4
Verso VDF:6.34.00.64

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.xd
   •  TrendMicro: WORM_MYTOB.NF
   •  Sophos: W32/Dolebot-A
   •  Bitdefender: Backdoor.SDBot.AHV

Identificado anteriormente como:
     Worm/SdBot.108032


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %WINDIR%\skype32.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%SYSDIR%\rofl.sys Detectado como: BDS/Aimbot.AF.5

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

HKLM\SYSTEM\CurrentControlSet\Services\Skype
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\skype32.exe
   • "DisplayName"="Skype Messenger"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Skype Messenger Service"



adicionada a seguinte chave de registo:

HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



Altera as seguintes chaves de registo do Windows:

HKLM\SOFTWARE\Microsoft\Security Center
   Valor anterior:
   • "AntiVirusDisableNotify"=%definies do utilizador %
   • "FirewallDisableNotify"=%definies do utilizador %
   • "UpdatesDisableNotify"=%definies do utilizador %
   • "AntiVirusOverride"=%definies do utilizador %
   • "FirewallOverride"=%definies do utilizador %
   Valor recente:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Desactiva a Firewall do Windows
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Valor anterior:
   • "EnableFirewall"=%definies do utilizador %
   Valor recente:
   • "EnableFirewall"=dword:00000000

Desactiva a Firewall do Windows
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Valor anterior:
   • "EnableFirewall"=%definies do utilizador %
   Valor recente:
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Valor anterior:
   • "AUOptions"=%definies do utilizador %
   Valor recente:
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%definies do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Valor anterior:
   • "AutoShareWks"=%definies do utilizador %
   • "AutoShareServer"=%definies do utilizador %
   Valor recente:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   Valor anterior:
   • "AutoShareWks"=%definies do utilizador %
   • "AutoShareServer"=%definies do utilizador %
   Valor recente:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   Valor anterior:
   • "DoNotAllowXPSP2"=%definies do utilizador %
   Valor recente:
   • "DoNotAllowXPSP2"=dword:00000001

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%definies do utilizador %
   Valor recente:
   • "EnableDCOM"="N"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
O corpo do email um dos seguintes:

   • Dear %nome de domnio do endereo de e-mail do destinatrio% Member,
     We have temporarily suspended your email account %endereo de e-mail do destinatrio%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome de domnio do endereo de e-mail do destinatrio% account.
     Sincerely,The %nome de domnio do endereo de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domnio do endereo de e-mail do remetente% Antivirus - www.%nome de domnio do endereo de e-mail do remetente%

   • Dear user % nome de utilizador do endereo de e-mail do destinatrio% ,
     You have successfully updated the password of your %nome de domnio do endereo de e-mail do destinatrio% account.
     If you did not authorize this change or if you need assistance with your account, please contact %nome de domnio do endereo de e-mail do remetente% customer service at: %endereo de e-mail do remetente%
     Thank you for using%nome de domnio do endereo de e-mail do remetente%!
     The %nome de domnio do endereo de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domnio do endereo de e-mail do remetente% Antivirus - www.%nome de domnio do endereo de e-mail do remetente%

   • Dear%nome de domnio do endereo de e-mail do destinatrio% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome de domnio do endereo de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus found
     +++%nome de domnio do endereo de e-mail do remetente% Antivirus - www.%nome de domnio do endereo de e-mail do remetente%

   • Dear user % nome de utilizador do endereo de e-mail do destinatrio% ,
     It has come to our attention that your %nome de domnio do endereo de e-mail do remetente% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %nome de domnio do endereo de e-mail do remetente% !
     The %nome de domnio do endereo de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domnio do endereo de e-mail do remetente% Antivirus - www.%nome de domnio do endereo de e-mail do remetente%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %uma srie de caracteres aleatrios%.zip

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • adb; asp; cfg; cgi; dbx; htm; html; jsp; mdb; msg; php; sht; tbb; txt;
      vbe; vbs; xml


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tx.ha**********
Porta: 43287
Canal #dfnctsc
Nickname: [P00|USA|%cinco caracteres aleatrios%]



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Informaes sobre a rede
    • Informao sobre processos em execuo


 Para alm disso tem a capacidade de executar as seguintes aces:
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
     Executa pesquisas na rede
    • Desliga o sistema
     Inicia a rotina de propagao
    • Termina o malware
    • Termina processos
     Actualiza-se a ele prprio

 Terminar o processo  Lista de servios desactivados:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Backdoor Contacta o servidor:
Seguintes:
   • http://test.anonproxies.com/cgi-bin/**********
   • http://www21.big.or.jp/~mana_/**********
   • http://www.motor21.net/**********
   • http://www.xyerror.x-y.net/**********
   • http://www21.tok2.com/home/sophia/cgi-bin/**********


 Tecnologia de Rootkit  uma tecnologia malware-especfica. O malware esconde-se de utilitrios de sistema, aplicaes de segurana e, do utilizador.


Oculta o seguinte:
– O seu prprio processo

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em segunda-feira, 13 de março de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 20 de março de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.