VírusWorm/Mytob.EU.1
Data em que surgiu:10/07/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:61.440 Bytes
MD5 checksum:7f190C5c0271904bdf0D26ccec0B3b53
Versão VDF:6.35.00.142

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.eu


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail


Depois de executado é visualizada a seguinte informação:

A imagem foi editada para mostrar o seguinte.

 Ficheiros São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\tmp%número hexadecimal%.tmp

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
O endereço do remetente é a conta do utilizador do Outlook.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • Error
   • Hello
   • Hi
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status
   • Test

O assunto pode, também, ter caracteres aleatórios.


Corpo:
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email tem uma das seguintes linhas:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %uma série de caracteres aleatórios%

    Continua com uma das seguintes extensões falsas:
   • zip
   • bat
   • cmd
   • exe
   • pif
   • scr

O ficheiro de atalho é uma cópia do malware.

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com um dos seguintes:




 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab; adb; tbb; dbx; php; sht; htm; txt; tmp; pl; asp


Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; fred; george; helen; jack; james; jane;
      jerry; jim; jimmy; joe; john; jose; julie; kevin; leo; linda; maria;
      mary; matt; michael; mike; peter; ray; robert; sam; sandra; serg;
      smith; stan; steve; ted; tom; %uma série de caracteres
      aleatórios%

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; msn; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      you; your


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Daniel Constantin em quarta-feira, 9 de agosto de 2006
Descrição atualizada por Daniel Constantin em quarta-feira, 9 de agosto de 2006

Voltar . . . .