Worm/Mydoom.CI.2 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Mydoom.CI.2
Data em que surgiu:	27/04/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	66.048 Bytes
MD5 checksum:	c75fefaff36976c46fb2b6dfc0df7ae0
Versão VDF:	6.34.01.17
Versão IVDF:	6.34.01.17

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Mcafee: W32/Mydoom.bz@MM
   • Kaspersky: Backdoor.Win32.IRCBot.rg
   • TrendMicro: WORM_MYDOOM.BO
   • VirusBuster: I-Worm.Mytob.TL
   • Eset: Win32/Mydoom.BT

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\osalogbe.exe

São criados os seguintes ficheiros:

– Ficheiro que contém uma colecção de endereços de email:
• %WINDIR%\mslog\scanlog.txt

– %WINDIR%\mslog\% data actual%.sys O ficheiro contém informações recolhidas do sistema.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Osalogbe"="%SYSDIR%\osalogbe.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados

Assunto:
Um dos seguintes:
   • Western Union Payment Notification
   • Bank Wire Transfer
   • Payment Notification
   • Your request has been Approved
   • Life Time Opportunities
   • Congratulations
   • Money Transfer Notification
   • Final Notice Of Payment
   • Please follow this instructions

Corpo:
O corpo do email tem uma das seguintes linhas:
   • Final Notice Of Payment.Please check the attachment for details.
   • Your credit loans has been approved.Please check the attachment for details.
   • Your payment has been confirmed.Please check the attachment for details.
   • The wire transfer information you requested as been sent.Please see the attachment.
   • Your egold payment is waiting for you.Check the attachment for Details
   • Your egold payment is waiting for you.Click the attachment for Details
   • Please check the attached message to claim your money

Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • body.zip
   • message.zip
   • test.zip
   • data.zip
   • file.zip
   • text.zip
   • doc.zip
   • readme.zip
   • document.zip

O email pode ser parecido com o seguinte:

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp

Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina isto com domínios encontrados numa lista ou endereços encontrados em ficheiros no sistema.

Tem um dos seguintes domínios:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www

Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: irc.perthnet.**********
Porta: 6667
Canal #owoduni

Servidor: anubis.zanet.**********
Porta: 6667
Canal #owoduni

Servidor: vt.irc.**********
Porta: 6667
Canal #owoduni

Servidor: irc.xevio**********
Porta: 6667
Canal #owoduni

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Informação sobre processos em execução
    • Directório de sistema

– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Ataque de Negação de Serviços (ataque DoS)
    • Envia emails
    • Inicia o keylog

Backdoor É aberta a seguinte porta:

– %SYSDIR%\osalogbe.exe numa porta TCP 6666 Por forma a fornecer capacidades backdoor.

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• ASPack

Veja aqui uma breve descrição.

Descrição adicionada por Irina Boldea em Mon, 18 Sep 2006 14:17 (GMT+1)
Descrição adicionada por Irina Boldea em Tue, 19 Sep 2006 10:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back