Worm/Wootbot.117152 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Wootbot.117152
Data em que surgiu:	01/03/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	117.152 Bytes
MD5 checksum:	0e0261b06ec8d8aa1cb5ba6b986eb6fa
Versão VDF:	6.33.01.05 - Sat, 18 Feb 2006 14:34 (GMT+1)

Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local

Alias:
   • Symantec: W32.Mytob@mm
   • Kaspersky: Backdoor.Win32.Wootbot.gen
   • TrendMicro: WORM_MYTOB.OP
   • Bitdefender: Win32.Worm.Mytob.X.Gen

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\WinApp32.exe

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Application 32"="WinApp32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Windows Application 32"="WinApp32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Application 32"="WinApp32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Windows Application 32"="WinApp32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Application 32"="WinApp32.exe"

São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Windows Application 32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="shit"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços gerados

Assunto:
Um dos seguintes:
   • Your Account is Suspended
   • *WARNING* Your email account is suspended
   • *DETECTED* Online User Violation
   • Your Account is Suspended For Security Reasons
   • Warning Message: Your services near to be closed.
   • Important Notification
   • Members Support
   • We have suspended your account
   • You are banned!!!
   • Security measures
   • Email Account Suspension
   • Notice of account limitation

O assunto pode, também, ter caracteres aleatórios.

Corpo:
O corpo do email é um dos seguintes:

   • Some information about your %nome de domínio do endereço de e-mail do destinatário% account is attached.

     The %nome de domínio do endereço de e-mail do destinatário% Support Team

   • Dear %domain% Member,

     We have temporarily suspended your email account %domain%.

     This might be due to either of the following reasons:

     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %nome de domínio do endereço de e-mail do destinatário% account.

     Sincerely,The %nome de domínio do endereço de e-mail do destinatário% Support Team

   • Dear %nome de domínio do endereço de e-mail do destinatário% Member,

     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

     Virtually yours,
     The %nome de domínio do endereço de e-mail do destinatário% Support Team

Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

– Começa por um dos seguintes:
   • account-details
   • account-info
   • account-report
   • document
   • email-details
   • important-details
   • information
   • readme
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • zip

O ficheiro de atalho contém uma cópia do próprio malware.

O email pode ser parecido com o seguinte:

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab

Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • support
   • administrator
   • accounts
   • mail
   • service
   • admin
   • info
   • register
   • webmaster

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.

Endereços gerados para o campo PARA :
Utiliza o seguinte texto para gerar endereços:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.;
      help; hotmail; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris;
      isc.o; isi.e; kernel; linux; listserv; math; mit.e; mozilla; msn.;
      mydomai; nobody; nodomai; noone; not; nothing; ntivi; page; panda;
      pgp; postmaster; privacy; rating; rfc-ed; ripe.; root; ruslis;
      samples; secur; sendmail; service; site; soft; somebody; someone;
      sopho; spm; submit; support; syma; tanford.e; the.bat; unix; usenet;
      utgers.ed; webmaster; www; you; your

Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
• IPC$

Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 64.125.**********
Porta: 6667
Canal #exp

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows

– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Download de ficheiros
    • Abre ligações remotas
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia a rotina de propagação

Backdoor – WinApp32.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.

Roubos de informação Tenta roubar a seguinte informação:

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • :.login; :!login; :!Login; :.Login; :.ident; :!ident; :.ipscan;
      :.advscan; :!advscan; :.secure; OPER; NICK; oper; USER; PASS; paypal;
      PAYPAL; passwd=; password=; login=; pass=; VISA=; mastercard=; visa=;
      amex=; ccnumber=; cctype=; card=; cvv2=; ccv2=; card=; CVV2=;
      address=; exp=; email=; account=; PAYPAL.COM; paypal.com

Informações diversas Partilhas de rede:
As seguintes partilhas de rede serão eliminadas:
   • c$
   • d$
   • ipc$
   • admin$

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Wed, 01 Mar 2006 17:40 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Thu, 02 Mar 2006 13:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back