Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Mytob.LZ
Data em que surgiu:28/11/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:94.689 Bytes
MD5 checksum:2f172aa5095904316ae33e5d04edffb5
Versão VDF:6.32.00.233

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.cu
   •  TrendMicro: WORM_MYTOB.NB
   •  F-Secure: Net-Worm.Win32.Mytob.cu
   •  Sophos: W32/Mytob-FZ
   •  Panda: W32/Mydoom.CA.worm
   •  VirusBuster: I-Worm.Mytob.OP
   •  Eset: Win32/Mytob.NE
   •  Bitdefender: Win32.Worm.MyTob.DL


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\msconfgh.exe

 Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Cnfg32" = "msconfgh.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Win32 Cnfg32
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\msconfgh.exe"
   • "DisplayName"="Win32 Cnfg32"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "DeleteFlag"=dword:00000001

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

O assunto pode, também, ter caracteres aleatórios.


Corpo:
O corpo do email é um dos seguintes:

   • Dear %nome de domínio do endereço de e-mail do destinatário% Member,
     We have temporarily suspended your email account %endereço de e-mail do destinatário%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome de domínio do endereço de e-mail do destinatário% account.
     Sincerely,The %nome de domínio do endereço de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do remetente% Antivirus - www.%nome de domínio do endereço de e-mail do remetente%

   • Dear user % nome de utilizador do endereço de e-mail do destinatário% ,
     You have successfully updated the password of your %nome de domínio do endereço de e-mail do destinatário% account.
     If you did not authorize this change or if you need assistance with your account, please contact %nome de domínio do endereço de e-mail do remetente% customer service at: %endereço de e-mail do remetente%
     Thank you for using%nome de domínio do endereço de e-mail do remetente%!
     The %nome de domínio do endereço de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do remetente% Antivirus - www.%nome de domínio do endereço de e-mail do remetente%

   • Dear%nome de domínio do endereço de e-mail do destinatário% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome de domínio do endereço de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus found
     +++%nome de domínio do endereço de e-mail do remetente% Antivirus - www.%nome de domínio do endereço de e-mail do remetente%

   • Dear user % nome de utilizador do endereço de e-mail do destinatário% ,
     It has come to our attention that your %nome de domínio do endereço de e-mail do remetente% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %nome de domínio do endereço de e-mail do remetente% !
     The %nome de domínio do endereço de e-mail do remetente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do remetente% Antivirus - www.%nome de domínio do endereço de e-mail do remetente%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %uma série de caracteres aleatórios%.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab; adb; tbb; dbx; asp; php; sht; htm; html; xml; cgi; jsp; txt; tmp


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.


Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: f00r.dy**********
Porta: 6667
Canal #tob
Palavra-chave (null)



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia o keylog
    • Inicia a rotina de propagação
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
      www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
      moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Backdoor É aberta a seguinte porta:

%SYSDIR%\msconfgh.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.

 Roubos de informação – Usa um sniffer de rede para pesquisar os seguintes textos:
   • :.login
   • :!login
   • :.secure
   • :!advscan
   • :.advscan
   • :.ipscan
   • :!ident
   • :.ident

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Captura:
    • Tráfico de Internet
    • Informação de login

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em sexta-feira, 31 de março de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 19 de abril de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.