Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mytob.KH
Data em que surgiu:09/10/2005
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:37.888 Bytes
MD5 checksum:641f2da941507529f31d86c2a2ba0A06
Verso VDF:6.32.00.69

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Email-Worm.Win32.Fanbot.f
   •  F-Secure: W32/Mytob.MT@mm
   •  Grisoft: I-Worm/Mytob.MC
   •  VirusBuster: Email-Worm.Win32.Fanbot.f
   •  Bitdefender: Win32.Fanbot.F@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurana
   • Desactiva aplicaes de segurana
   • Descarrega um ficheiro
   • Utiliza o seu prprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador


Depois de executado visualizada a seguinte informao:

A imagem foi editada para mostrar o seguinte.

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\Phantom.exe
   • %WINDIR%\Phantom.exe
   • %TEMPDIR%\tmp%valores hex%.tmp



Apaga a cpia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\tmp%valores hex%.tmp
   • %TEMPDIR%\Setup\CXMO%nmero% .exe
   • C:\x140yu.exe
   • C:\xiaoyu.exe



criado o seguinte ficheiro:

C:\Shell.sys um ficheiro de texto no malicioso com o seguinte contedo:
   • fuck!!!
     The Active Windows Title: %Processos com janelas visveis%

 Registry (Registo do Windows) O seguinte valor do registo alterado:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • Shell="Explorer.exe Phantom.exe"
     userinit="userinit.exe,Phantom.exe" (Hidden)

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O remetente do e-mail um dos seguintes:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • *DETECTED* Online User Violation
   • EMAIL ACCOUNT SUSPENSION
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • YOUR NEW ACCOUNT PASSWORD IS APPROVED
   • Your password has been successfully updated
   • Your password has been updated

Nalguns casos o assunto pode no conter texto.
O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
  construdo utilizando expresses regulares.
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatrios.


O corpo do email um dos seguintes:

   • Dear user %email de utilizador%,
     It has come to our attention that your receiver's %domnio do rementente% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %domnio do rementente%!
     The %domnio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domnio do rementente% Antivirus - www.%domnio do rementente%

   • Dear %domnio do rementente% Member,
     We have temporarily suspended your email account %endereo de e-mail do destinatrio%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %domnio do rementente% account.
     Sincerely,The %domnio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domnio do rementente% Antivirus - www.%domnio do rementente%

   • Dear %domnio do rementente% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online %domnio do rementente%.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %domnio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domnio do rementente% Antivirus - www.%domnio do rementente%

   • Dear user %email de utilizador%,
     You have successfully updated the password of your %domnio do rementente%account.
     If you did not authorize this change or if you need assistance with your account, please contact %domnio do rementente% customer service at: %endereo de e-mail do remetente%
     Thank you for using %domnio do rementente%!
     The %domnio do rementente% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %domnio do rementente% Antivirus - www.%domnio do rementente%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %uma srie de caracteres aleatrios%

    A extenso do ficheiro uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho uma cpia do malware.



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; tmp


Endereos gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereos:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; slashdot; sourceforge; mozilla;
      utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e; ripe.; arin.;
      sendmail; rfc-ed; ietf; iana; usenet; fido; linux; kernel; google;
      ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley; foo.; .mil;
      gov.; .gov; support; messagelabs; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: SmallPhantom.3322.**********
Canal #xiaoyu

Servidor: SmallPhantom.meibu.**********
Canal #xiaoyu



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Platform ID
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Nome de utilizador
    • Actividade do utilizador
    • Directrio do Windows
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Liga-se ao servidor de IRC
     Lana DDoS SYN floods
     Lana DDoS UDP floods
     Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligao ao canal IRC
    • Abandona canais IRC
    • Abre ligaes remotas
    • Ataque de Negao de Servios (ataque DoS)
     Executa pesquisas na rede
    • Reinicia
    • Envia emails
    • Desliga o sistema
     Inicia o keylog
     Inicia a rotina de propagao
    • Termina o malware
    • Termina processos
     Actualiza-se a ele prprio
    • Upload de ficheiros
     Visita um Web site

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

Neste caso no haver alteraes.

O acesso aos seguintes domnios bloqueado:
   • jiangmin.com; www.jiangmin.com; Update2.JiangMin.com;
      Update3.JiangMin.com; rising.com.cn; www.rising.com.cn;
      online.rising.com.cn; iduba.net; www.iduba.net; kingsoft.com;
      db.kingsoft.com; scan.kingsoft.com; kaspersky.com.cn;
      www.kaspersky.com.cn; symantec.com.cn; www.symantec.com.cn;
      www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.pandaguard.com; pandasoftware.com;
      www.pandasoftware.com; www.trendmicro.com; www.grisoft.com;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      www.amazon.com; www.amazon.co.uk; www.amazon.ca; www.amazon.fr;
      www.paypal.com; paypal.com; moneybookers.com; www.moneybookers.com;
      www.ebay.com; ebay.com




O ficheiro hospedeiro (alterado) ter a seguinte aparncia:


 Roubos de informao Tenta roubar a seguinte informao:
 Palavras-chave digitadas em 'campos de entrada de palavras-chave'
 Palavras-chave guardadas e que so usadas pela funo AutoComplete

iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • [CTRL]; [DEL]; [DOWN]; [END]; [ESC]; [F1]; [F10]; [F11]; [F12]; [F2];
      [F3]; [F4]; [F5]; [F6]; [F7]; [F8]; [F9]; [HOME]; [LEFT]; [TAB]; [UP];
      [WIN]

– Captura:
     Teclar
     Janela de informao

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • [Phantom]

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • LCC WIN32 1.x

Descrição enviada por Monica Ghitun em sexta-feira, 23 de novembro de 2007
Descrição atualizada por Andrei Gherman em terça-feira, 27 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.