Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Mytob.KH
Data em que surgiu:09/10/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:37.888 Bytes
MD5 checksum:641f2da941507529f31d86c2a2ba0A06
Versão VDF:6.32.00.69

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Email-Worm.Win32.Fanbot.f
   •  F-Secure: W32/Mytob.MT@mm
   •  Grisoft: I-Worm/Mytob.MC
   •  VirusBuster: Email-Worm.Win32.Fanbot.f
   •  Bitdefender: Win32.Fanbot.F@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurança
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Utiliza o seu próprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador


Depois de executado é visualizada a seguinte informação:

A imagem foi editada para mostrar o seguinte.

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%valores hex%.tmp



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\tmp%valores hex%.tmp
   • %TEMPDIR%\Setup\CXMO%número% .exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



É criado o seguinte ficheiro:

– C:\Shell.sys É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • fuck!!!
     The Active Windows Title: %Processos com janelas visíveis%

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O remetente do e-mail é um dos seguintes:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

Nalguns casos o assunto pode não conter texto.
O assunto pode, também, ter caracteres aleatórios.


Corpo:
–  É construído utilizando expressões regulares.
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email é um dos seguintes:

   • Dear user %email de utilizador%,
     It has come to our attention that your receiver's %domínio do rementente% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %domínio do rementente%!
     The %domínio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domínio do rementente% Antivirus - www.%domínio do rementente%

   • Dear %domínio do rementente% Member,
     We have temporarily suspended your email account %endereço de e-mail do destinatário%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %domínio do rementente% account.
     Sincerely,The %domínio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domínio do rementente% Antivirus - www.%domínio do rementente%

   • Dear %domínio do rementente% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %domínio do rementente%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %domínio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domínio do rementente% Antivirus - www.%domínio do rementente%

   • Dear user %email de utilizador%,
     You have successfully updated the password of your %domínio do rementente%account.
     If you did not authorize this change or if you need assistance with your account, please contact %domínio do rementente% customer service at: %endereço de e-mail do remetente%
     Thank you for using %domínio do rementente%!
     The %domínio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domínio do rementente% Antivirus - www.%domínio do rementente%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: SmallPhantom.3322.**********
Canal #xiaoyu

Servidor: SmallPhantom.meibu.**********
Canal #xiaoyu



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Platform ID
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Actividade do utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia o keylog
    • Inicia a rotina de propagação
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros
    • Visita um Web site

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Palavras-chave guardadas e que são usadas pela função AutoComplete

– É iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– Captura:
    • Teclar
    • Janela de informação

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • [Phantom]

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • LCC WIN32 1.x

Descrição enviada por Monica Ghitun em sexta-feira, 23 de novembro de 2007
Descrição atualizada por Andrei Gherman em terça-feira, 27 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.