Worm/NetSky.AM - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/NetSky.AM
Data em que surgiu:	28/09/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	33.280 Bytes
MD5 checksum:	0ab51a0826abca7ad25fb3e5797a8f09
Versão VDF:	6.32.0.49

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Symantec: W32.Mytob.EE@mm
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.cz
   • TrendMicro: WORM_MYTOB.KR
   • Bitdefender: Win32.Mydoom.BA@mm

Sistemas Operativos:
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Desactiva aplicações de segurança
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\scrigz.exe

Apaga a cópia executada inicialmente.

Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• "RAX SYSTEM"="scrigz.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "RAX SYSTEM"="scrigz.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados

Assunto:
Um dos seguintes:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated

O assunto pode, também, ter caracteres aleatórios.

Corpo:
O corpo do email é um dos seguintes:

   • Dear user %username from receivers email address%,

     It has come to our attention that your %nome de domínio do endereço de e-mail do destinatário% User Profile ( x ) records are out of date. For further details see the attached document.

     Thank you for using %nome de domínio do endereço de e-mail do destinatário%!
     The %nome de domínio do endereço de e-mail do destinatário% Support Team

     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%

   • Dear user %username from receivers email address%,

     You have successfully updated the password of your %nome de domínio do endereço de e-mail do destinatário% account.

     If you did not authorize this change or if you need assistance with your account, please contact %nome de domínio do endereço de e-mail do destinatário% customer service at: %endereço de e-mail do remetente%

     Thank you for using %nome de domínio do endereço de e-mail do destinatário%!
     The %nome de domínio do endereço de e-mail do destinatário% Support Team

     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%

   • Dear %nome de domínio do endereço de e-mail do destinatário% Member,

     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

     If you choose to ignore our request, you leave us no choice but to cancel your membership.

     Virtually yours,
     The %nome de domínio do endereço de e-mail do destinatário% Support Team

     +++ Attachment: No Virus found
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%

   • Dear %nome de domínio do endereço de e-mail do destinatário% Member,

     We have temporarily suspended your email account %endereço de e-mail do destinatário%.
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of
     subscription due to an internal error within our processors.
     See the details to reactivate your %endereço de e-mail do destinatário% account.

     Sincerely,
     The %nome de domínio do endereço de e-mail do destinatário% Support Team

     +++ Attachment: No Virus (Clean)
     +++ %nome de domínio do endereço de e-mail do destinatário% Antivirus - www.%nome de domínio do endereço de e-mail do destinatário%

Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

– Começa por um dos seguintes:
   • accepted-password
   • account-details
   • account-info
   • account-password
   • account-report
   • approved-password
   • document
   • email-details
   • email-password
   • important-details
   • new-password
   • password
   • readme
   • updated-password
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • zip

O ficheiro de atalho é uma cópia do malware.

O email pode ser parecido com o seguinte:

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • adb; asp; cgi; dbx; htm; html; jsp; php; sht; tbb; wab; xml

Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.

Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .edu; .gov; .mil; abuse; accoun; acketst; anyone; arin.; avp;
      be_loyal:; berkeley; borlan; bsd; bugs; certific; contact; example;
      fcnz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      hotmail; iana; ibm.com; icrosof; icrosoft; ietf; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; msn.; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; site; soft; somebody; someone; sopho; spm; submit; syma;
      tanford.e; the.bat; unix; usenet; utgers.ed; www; you; your

Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate
   • mail
   • mail1
   • mx
   • mx1
   • mxs
   • ns
   • relay
   • smtp

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: rax.**********ihax.info
Porta: 43287
Canal #skyelite
Nickname: [X]%seis caracteres aleatórios%

– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Termina o malware
    • Actualiza-se a ele próprio

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • avp.com; ca.com; customer.symantec.com; dispatch.mcafee.com;
      download.mcafee.com; ebay.com; f-secure.com; kaspersky.com;
      kaspersky-labs.com; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      microsoft.com; moneybookers.com; my-etrust.com; nai.com;
      networkassociates.com; pandasoftware.com; paypal.com; rads.mcafee.com;
      secure.nai.com; securityresponse.symantec.com; sophos.com;
      symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; viruslist.com; virustotal.com;
      www.amazon.ca; www.amazon.co.uk; www.amazon.com; www.amazon.fr;
      www.avp.com; www.ca.com; www.ebay.com; www.f-secure.com;
      www.grisoft.com; www.kaspersky.com; www.mcafee.com; www.microsoft.com;
      www.moneybookers.com; www.my-etrust.com; www.nai.com;
      www.networkassociates.com; www.pandasoftware.com; www.paypal.com;
      www.sophos.com; www.symantec.com; www.trendmicro.com;
      www.viruslist.com; www.virustotal.com

Terminar o processo A seguinte lista de processos são terminados:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; CMD.EXE; NEC.EXE; TASKMGR.EXE;
      VSHWIN32.EXE; VSISETUP.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE;
      VSWIN9XE.EXE; VSWINNTSE.EXE; VSWINPERSE.EXE; W32DSM89.EXE; W9X.EXE;
      WATCHDOG.EXE; WEBDAV.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WHOSWATCHINGME.EXE; WIMMUN32.EXE; WIN32.EXE; WIN32US.EXE;
      WINACTIVE.EXE; WIN-BUGSFIX.EXE; WINDOW.EXE; WINDOWS.EXE; WININETD.EXE;
      WININIT.EXE; WININITX.EXE; WINLOGIN.EXE; WINMAIN.EXE; WINNET.EXE;
      WINPPR32.EXE; WINRECON.EXE; WINSERVN.EXE; WINSSK32.EXE; WINSTART.EXE;
      WINSTART001.EXE; WINTSK32.EXE; WINUPDATE.EXE; WKUFIND.EXE; WNAD.EXE;
      WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE; WUPDATER.EXE;
      WUPDT.EXE; WYVERNWORKSFIREWALL.EXE; XPF202EN.EXE; ZAPRO.EXE;
      ZAPSETUP3001.EXE; ZATUTOR.EXE; ZONALM2601.EXE; ZONEALARM.EXE

Os seguintes serviços são desactivados :
   • SharedAccess

Informações diversas Cria o seguinte Mutex:
• H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Thu, 29 Sep 2005 09:08 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Tue, 18 Oct 2005 17:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back