VírusWorm/Mytob.EF.2
Data em que surgiu:18/04/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Alto
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:130.200 Bytes
MD5 checksum:94dc803c285627031a5ff01946fa988e
Versão VDF:6.34.00.198
Versão IVDF:6.34.00.200 - quarta-feira, 19 de abril de 2006

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local
   • Messenger
   • Peer to Peer


Alias:
   •  Symantec: W32.Mytob.PE@mm
   •  Kaspersky: Net-Worm.Win32.Kidala.a
   •  TrendMicro: WORM_MYTOB.PT
   •  Sophos: W32/Mytob-HH
   •  VirusBuster: I-Worm.Mydoom.BV
   •  Eset: Win32/Mytob.SF
   •  Bitdefender: Win32.Worm.Mytob.ET


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\ISPSupport.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %raiz da unidade de sistema%\HoT.pif
   • %SYSDIR%\loadwin.scr
   • %SYSDIR%\loadwin.com
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.com
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winloader.scr
   • %SYSDIR%\winload.scr
   • %SYSDIR%\winload.exe
   • %SYSDIR%\winload.com
   • %SYSDIR%\player.scr
   • %SYSDIR%\player.com
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.com
   • %SYSDIR%\microsystem.scr
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.com
   • %SYSDIR%\viewer.exe
   • %SYSDIR%\viewer.scr

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ISPSystem"="%SYSDIR%\ISPSupport.exe"



As seguintes chaves de registo e todos os valores são eliminados:
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys32x
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systems

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • %uma série de caracteres aleatórios%
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status



Corpo:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email tem uma das seguintes linhas:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho é uma cópia do malware.

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; britney;
      bush; claudia; dan; dave; david; debby; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; julie; kevin; leo;
      linda; lolita; madmax; maria; mary; matt; michael; mike; peter; ray;
      robert; sam; sandra; serg; smith; stan; steve; ted; tom

Combina isto com domínios encontrados numa lista ou endereços encontrados em ficheiros no sistema.

Tem um dos seguintes domínios:
   • hotmail.com
   • cia.gov
   • fbi.gov
   • juno.com
   • yahoo.com
   • msn.com
   • aol.com


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      www; you; your


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • mail.
   • mail1.
   • mx.
   • mx1.
   • mxs.
   • ns.
   • relay.
   • smtp.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


Procura o seguintes directórios:
   • \My Shared Folder
   • \eDonkey2000\incoming
   • \LimeWire\Shared

   Obtém a pasta partilhada examinando as seguintes chaves de registo:
   • SOFTWARE\Morpheus
   • SOFTWARE\KAZAA\LocalContent
   • Software\Kazaa\Transfer
   • SOFTWARE\iMesh\Client
   • SOFTWARE\WarezP2P

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • YahooMessenger_Loader; MSN7.0UniversalPatch; MSN7.0Loader;
      KAV2006_Crack; ZoneAlarmPro6.xx_Crack; Angilina_Jolie_Sucks_a_Dick;
      JenniferLopez_Film_Sexy_Enough; BritneySpears_SoSexy;
      DAP7.4.x.x_crack; NortonAV2006_Crack; Alcohol_120%%_patch;
      Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly;
      nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; MSN7.0UniversalPatch;
      MSN7.0Loader; KAV2006_Crack; ZoneAlarmPro6.xx_Crack; TaskCatcher;
      Opera8; notepad++; lcc-win32_update; RealPlayerv10.xx_crack; nuke2006;
      office_crack; rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; xXx Sex xXx; porn in porn; cums in asshole;
      New Sex Movie; big tits; Fucked Hardly; Beautiful ass; Sexy Girl;
      WooooW much sexual; look at the bitch; Sex Movie; film Sex; XXX Movie;
      the best sex clip; Sex in Sex just watch it!!; Nawal-elzoghbi.rm;
      Elissa+3a9y.rm; Nancy-3ajram.rm; Halima-Poland.rm; Hayfaa-Wahbi.rm;
      Christina_Aguilera.rm; Jessica_Simpson.rm; Mariah_Carey.rm; Thalia.rm;
      Beyonce.rm; Jennifer_Lopez.rm; Angilina_Jolie.rm; Madonna.rm;
      Britney.rm; Nawal-elzoghbi.mpeg; Elissa+3a9y.mpeg; Nancy-3ajram.mpeg;
      Halima-Poland.mpeg; Hayfaa-Wahbi.mpeg; Christina_Aguilera.mpeg;
      Jessica_Simpson.mpeg; Mariah_Carey.mpeg; Thalia.mpeg; Beyonce.mpeg;
      Jennifer_Lopez.mpeg; Angilina_Jolie.mpeg; Madonna.mpeg; Britney.mpeg;
      Nawal-elzoghbi.ram; Elissa+3a9y.ram; Nancy-3ajram.ram;
      Halima-Poland.ram; Hayfaa-Wahbi.ram; Christina_Aguilera.ram;
      Jessica_Simpson.ram; Mariah_Carey.ram; Thalia.ram; Beyonce.ram;
      Jennifer_Lopez.ram; Angilina_Jolie.ram; Madonna.ram; Britney.ram;
      Nawal-elzoghbi.mpg; Elissa+3a9y.mpg; Nancy-3ajram.mpg;
      Halima-Poland.mpg; Hayfaa-Wahbi.mpg; Christina_Aguilera.mpg;
      Jessica_Simpson.mpg; Mariah_Carey.mpg; Thalia.mpg; Beyonce.mpg;
      Jennifer_Lopez.mpg; Angilina_Jolie.mpg; Madonna.mpg; Britney.mpg

   Os ficheiros são cópias do próprio malware.

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • look at this video http://%endereço IP%:2001/%uma série de caracteres aleatórios%

   • hehe, watch this http://%endereço IP%:2001/%uma série de caracteres aleatórios%

   • your going to like this :D http://%endereço IP%:2001/%uma série de caracteres aleatórios%

   • lol, don't forget to watch this video http://%endereço IP%:2001/%uma série de caracteres aleatórios%

   • LOL, this shit is funny http://%endereço IP%:2001/%uma série de caracteres aleatórios%

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.


Propagação por ficheiro
Envia um ficheiro com um dos seguinte nomes:
   • crazy5.scr
   • exposed.scr
   • funny2.scr
   • funny1.scr
   • haha.scr
   • picture1.scr
   • mjackson.scr
   • lucky.scr
   • crazyjump.scr
   • funny3.scr

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS01-059 (Unchecked Buffer in Universal Plug and Play )
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– Bagle backdoor (port 2745)
– Kuang backdoor (port 17300)
– Mydoom backdoor (port 3127)
– NetDevil backdoor (port 903)
– Optix backdoor (port 3140)
– SubSeven backdoor (port 27347)
– Administração remota DameWare (porta 6129)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.


Processo de infecção:
Cria um script TFTP ou FTP na máquina a atacada para permitir o download do malware da máquina atacante.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 Terminar o processo A seguinte lista de processos são terminados:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Backdoor São abertas as seguintes portas:

%SYSDIR%\ISPSupport.exe numa porta TCP 16248 Por forma a fornecer um servidor FTP.
%SYSDIR%\ISPSupport.exe 2001 Por forma a fornecer um servidor HTTP.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em segunda-feira, 19 de junho de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 21 de junho de 2006

Voltar . . . .