Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mytob.JH
Data em que surgiu:01/08/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:83.489 Bytes
MD5 checksum:cf9d8ca63bda4ba74f33b96dcd6e929e
Verso VDF:6.31.01.40

 Vulgarmente Meio de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32/Mytob.gen@MM
   •  Sophos: W32/Forbot-FG
   •  Grisoft: I-Worm/Mytob.LW
   •  VirusBuster: I-Worm.Mytob.KJ
   •  Eset: Win32/Mytob.IL


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\wrmana32.exe

 Registry (Registo do Windows) As chaves seguintes so adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows NetDDe"="wrmana32.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows NetDDe"="wrmana32.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows NetDDe"="wrmana32.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Windows NetDDe"="wrmana32.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Windows NetDDe"="wrmana32.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended



Corpo:
O corpo do email um dos seguintes:

   • Dear %nome de domnio do endereo de e-mail do destinatrio% Member,
     We have temporarily suspended your email account %endereo de e-mail do destinatrio%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %nome de domnio do endereo de e-mail do destinatrio% account.
     Sincerely,The %nome de domnio do endereo de e-mail do remetente% Support Team

   • Dear%nome de domnio do endereo de e-mail do destinatrio% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome de domnio do endereo de e-mail do remetente% Support Team

   • Some information about your %nome de domnio do endereo de e-mail do destinatrio% account is attached.
     The %nome de domnio do endereo de e-mail do remetente% Support Team


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • readme.zip
   • document.zip
   • account-report.zip
   • account-info.zip
   • email-details.zip
   • account-details.zip
   • important-details.zip
   • information.zip

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; txt; tmp


Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • register
   • mail
   • administrator
   • service



Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm os primeiros dois octetos do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.


Processo de infeco:
Cria um script FTP na mquina infectada para permitir o download do malware da mquina atacante.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: mystery.m0r**********
Porta: 6667
Canal #forb0t
Nickname: elite-%sete caracteres aleatrios%
Palavra-chave false



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
     Detalhes acerca dos drivers
    • Espao disponvel no disco
    • Memria disponvel
    • Informaes sobre a rede
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS ICMP floods
     Lana DDoS SYN floods
     Lana DDoS UDP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa partilhas de rede
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negao de Servios (ataque DoS)
     Executa pesquisas na rede
    • Redireccionamento de porta
     Registar um servio
    • Reinicia
    • Envia emails
     Actualiza-se a ele prprio

 Backdoor  aberta a seguinte porta:

%SYSDIR%\wrmana32.exe numa porta TCP aleatria Por forma a fornecer um servidor FTP.

 Roubos de informao  Usa um sniffer de rede para pesquisar os seguintes textos:
   • account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=; card=; cctype=;
      ccnumber=; amex=; visa=; mastercard=; VISA=; pass=; login=; password=;
      passwd=; :.login; :!login; :.secure; :!advscan; :.advscan; :.ipscan;
      :!ident; :.ident

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em terça-feira, 15 de agosto de 2006
Descrição atualizada por Irina Boldea em terça-feira, 15 de agosto de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.