VírusWorm/Agent.aii
Data em que surgiu:25/10/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:733.184 Bytes
MD5 checksum:bbe4701b9fbb05416993791b02b98653
Versão VDF:6.36.00.149
Versão IVDF:6.36.00.166 - quarta-feira, 25 de outubro de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: Generic BackDoor.u
   •  Kaspersky: Backdoor.Win32.Agent.aii
   •  Sophos: W32/Mytob-JI
   •  Eset: Win32/Mytob.VE


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\winemail.exe

 Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Email"="winemail.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Email"="winemail.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%valores hex%
   • "{K7C0DB872A3F777C0}"=%valores hex%
   • "{I7B4ED451FFFFFFFF}"=%valores hex%
   • "{07B4ED451FFFFFFFF}"=%valores hex%

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}]
   • @="Media Clip"
   • "AppID"="{00022601-0000-0000-C000-000000000046}"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\AuxUserType\2]
   • @="Media Clip"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   DefaultSet]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\0]
   • @="Embed Source,1,8,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\1]
   • @="3,1,32,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\2]
   • @="8,1,1,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DefaultIcon]
   • @="mplay32.exe,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\InprocHandler32]
   • @="ole32.dll"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\Insertable]
   • @=""

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer32]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\MiscStatus]
   • @="0"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\ProgID]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\0]
   • @="&Play,0,3"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\1]
   • @="&Edit,0,2"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\2]
   • @="&Open,0,2"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Account Alert
   • %palavras aleatórias%



Corpo:
– Contém código HTML.
– Condições de activação:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email é um dos seguintes:

   • Dear Valued Member,
     According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons.
     http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do remetente%/confirm.php?account=%endereço de e-mail do destinatário%
     After following the instructions in the sheet, your account will not be interrupted and will continue as normal.
     Thanks for your attention to this request. We apologize for any inconvenience.
     Sincerely, %nome de domínio do endereço de e-mail do remetente% Department



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • abuse

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • %uma série de caracteres aleatórios%

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • mcafee; symantec; sophos; bitdefender; avg; kaspersky; avast; nod32;
      vba32; antivir; avira; cat-quickheal; clamav; drweb; f-prot; etrust;
      fortinet; ikarus; norman; panda; thehacker; ewido; spm; fcnz; www;
      secur; abuse


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: mail.yfcdavao.**********
Porta: 3132
Canal #email
Nickname: email%seis caracteres aleatórios%
Palavra-chave r00ted



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Informações sobre a rede
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Envia emails
    • Actualiza-se a ele próprio

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • gfbgslkvtgf

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Monica Ghitun em quarta-feira, 25 de outubro de 2006
Descrição atualizada por Monica Ghitun em quarta-feira, 22 de novembro de 2006

Voltar . . . .