Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mytob.EF.2
Data em que surgiu:18/04/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Alto
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:130.200 Bytes
MD5 checksum:94dc803c285627031a5ff01946fa988e
Verso VDF:6.34.00.198
Verso IVDF:6.34.00.200 - quarta-feira, 19 de abril de 2006

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local
    Messenger
   • Peer to Peer


Alias:
   •  Symantec: W32.Mytob.PE@mm
   •  Kaspersky: Net-Worm.Win32.Kidala.a
   •  TrendMicro: WORM_MYTOB.PT
   •  Sophos: W32/Mytob-HH
   •  VirusBuster: I-Worm.Mydoom.BV
   •  Eset: Win32/Mytob.SF
   •  Bitdefender: Win32.Worm.Mytob.ET


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Desactiva aplicaes de segurana
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\ISPSupport.exe



Apaga a cpia executada inicialmente.



Elimina os seguintes ficheiros:
   • %raiz da unidade de sistema%\HoT.pif
   • %SYSDIR%\loadwin.scr
   • %SYSDIR%\loadwin.com
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.com
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winloader.scr
   • %SYSDIR%\winload.scr
   • %SYSDIR%\winload.exe
   • %SYSDIR%\winload.com
   • %SYSDIR%\player.scr
   • %SYSDIR%\player.com
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.com
   • %SYSDIR%\microsystem.scr
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.com
   • %SYSDIR%\viewer.exe
   • %SYSDIR%\viewer.scr

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ISPSystem"="%SYSDIR%\ISPSupport.exe"



As seguintes chaves de registo e todos os valores so eliminados:
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys32x
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systems

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • %uma srie de caracteres aleatrios%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



Corpo:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatrios.


O corpo do email tem uma das seguintes linhas:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Atalho:
Os nomes dos ficheiros de atalhos so construdos a partir dos seguintes:

–  Comea por um dos seguintes:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %uma srie de caracteres aleatrios%

    A extenso do ficheiro uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho uma cpia do malware.

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Endereos gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina isto com domnios encontrados numa lista ou endereos encontrados em ficheiros no sistema.

Tem um dos seguintes domnios:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


Procura o seguintes directrios:
   • \My Shared Folder
   • \eDonkey2000\incoming
   • \LimeWire\Shared

   Obtm a pasta partilhada examinando as seguintes chaves de registo:
   • SOFTWARE\Morpheus
   • SOFTWARE\KAZAA\LocalContent
   • Software\Kazaa\Transfer
   • SOFTWARE\iMesh\Client
   • SOFTWARE\WarezP2P

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • YahooMessenger_Loader; MSN7.0UniversalPatch; MSN7.0Loader;
      KAV2006_Crack; ZoneAlarmPro6.xx_Crack; Angilina_Jolie_Sucks_a_Dick;
      JenniferLopez_Film_Sexy_Enough; BritneySpears_SoSexy;
      DAP7.4.x.x_crack; NortonAV2006_Crack; Alcohol_120%%_patch;
      Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly;
      nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; MSN7.0UniversalPatch;
      MSN7.0Loader; KAV2006_Crack; ZoneAlarmPro6.xx_Crack; TaskCatcher;
      Opera8; notepad++; lcc-win32_update; RealPlayerv10.xx_crack; nuke2006;
      office_crack; rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; xXx Sex xXx; porn in porn; cums in asshole;
      New Sex Movie; big tits; Fucked Hardly; Beautiful ass; Sexy Girl;
      WooooW much sexual; look at the bitch; Sex Movie; film Sex; XXX Movie;
      the best sex clip; Sex in Sex just watch it!!; Nawal-elzoghbi.rm;
      Elissa+3a9y.rm; Nancy-3ajram.rm; Halima-Poland.rm; Hayfaa-Wahbi.rm;
      Christina_Aguilera.rm; Jessica_Simpson.rm; Mariah_Carey.rm; Thalia.rm;
      Beyonce.rm; Jennifer_Lopez.rm; Angilina_Jolie.rm; Madonna.rm;
      Britney.rm; Nawal-elzoghbi.mpeg; Elissa+3a9y.mpeg; Nancy-3ajram.mpeg;
      Halima-Poland.mpeg; Hayfaa-Wahbi.mpeg; Christina_Aguilera.mpeg;
      Jessica_Simpson.mpeg; Mariah_Carey.mpeg; Thalia.mpeg; Beyonce.mpeg;
      Jennifer_Lopez.mpeg; Angilina_Jolie.mpeg; Madonna.mpeg; Britney.mpeg;
      Nawal-elzoghbi.ram; Elissa+3a9y.ram; Nancy-3ajram.ram;
      Halima-Poland.ram; Hayfaa-Wahbi.ram; Christina_Aguilera.ram;
      Jessica_Simpson.ram; Mariah_Carey.ram; Thalia.ram; Beyonce.ram;
      Jennifer_Lopez.ram; Angilina_Jolie.ram; Madonna.ram; Britney.ram;
      Nawal-elzoghbi.mpg; Elissa+3a9y.mpg; Nancy-3ajram.mpg;
      Halima-Poland.mpg; Hayfaa-Wahbi.mpg; Christina_Aguilera.mpg;
      Jessica_Simpson.mpg; Mariah_Carey.mpg; Thalia.mpg; Beyonce.mpg;
      Jennifer_Lopez.mpg; Angilina_Jolie.mpg; Madonna.mpg; Britney.mpg

   Os ficheiros so cpias do prprio malware.

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 AIM Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • look at this video http://%endereo IP%:2001/%uma srie de caracteres aleatrios%

   • hehe, watch this http://%endereo IP%:2001/%uma srie de caracteres aleatrios%

   • your going to like this :D http://%endereo IP%:2001/%uma srie de caracteres aleatrios%

   • lol, don't forget to watch this video http://%endereo IP%:2001/%uma srie de caracteres aleatrios%

   • LOL, this shit is funny http://%endereo IP%:2001/%uma srie de caracteres aleatrios%

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.


Propagao por ficheiro
Envia um ficheiro com um dos seguinte nomes:
   • crazy5.scr
   • exposed.scr
   • funny2.scr
   • funny1.scr
   • haha.scr
   • picture1.scr
   • mjackson.scr
   • lucky.scr
   • crazyjump.scr
   • funny3.scr

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
 MS01-059 (Unchecked Buffer in Universal Plug and Play )
 MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 Bagle backdoor (port 2745)
 Kuang backdoor (port 17300)
 Mydoom backdoor (port 3127)
 NetDevil backdoor (port 903)
 Optix backdoor (port 3140)
 SubSeven backdoor (port 27347)
 Administrao remota DameWare (porta 6129)


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm os primeiros dois octetos do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.


Processo de infeco:
Cria um script TFTP ou FTP na mquina a atacada para permitir o download do malware da mquina atacante.


Execuo remota:
Tenta programar uma execuo remota do malware, na mquina recentemente infectada. Ento usa a funo de NetScheduleJobAdd.

 Terminar o processo A seguinte lista de processos so terminados:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Backdoor So abertas as seguintes portas:

%SYSDIR%\ISPSupport.exe numa porta TCP 16248 Por forma a fornecer um servidor FTP.
%SYSDIR%\ISPSupport.exe 2001 Por forma a fornecer um servidor HTTP.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em segunda-feira, 19 de junho de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 21 de junho de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.