Имя:Worm/Mytob.LQ
Обнаружен:22/11/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:26.156 байт.
Контрольная сумма MD5:10fadc6f6dc2ff2e5b006630dd2a3952
Версия VDF:6.32.00.209

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Kaspersky: Net-Worm.Win32.Mytob.bi
   •  TrendMicro: WORM_MYTOB.MU
   •  F-Secure: W32/Mytob.PI@mm
   •  VirusBuster: iworm I-Worm.Mytob.OC
   •  Bitdefender: Win32.Worm.MyTob.CX


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\windbg32.exe

 Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS Debugger"="windbg32.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS Debugger"="windbg32.exe"



Изменяется следующий ключ реестра:

Отключение Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Прежнее значение:
   • "Start"=dword:00000004

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Одно из следующих:
   • *IMPORTANT* Winnings notification
   • Claim Your Free 4GB iPod nano!
   • Claim your free prize
   • Free Account Signup
   • Free Prize.
   • Important Notification
   • Notice of prize winnings
   • Retrive You Free iPod Nano!
   • Sending Free iPod measures
   • Shipping Address Request (YourFreeiPod.com)
   • Your Account is a winner
   • YourFreeiPod Support
   • Winnings Claim

Тема письма может содержать случайные знаки.


Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Dear user %пользовательская часть электронного адреса получателя%,
     You have been picked to receive a free prize!
     Check the attachment in this email for claiming your prize.
     Thank you
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %Домен получателя% Antivirus - www.%доменная часть электронного адреса получателя%

   • Dear user %пользовательская часть электронного адреса получателя%,
     It has come to our attention that your one of five winners this month from YourFreeiPod.com
     Please see the attachment in the email for further details.
     Thank you for using YourFreeiPod.com!
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %Домен получателя% Antivirus - www.%доменная часть электронного адреса получателя%
     

   • Dear %Домен получателя% Member,
     Please claim your free iPod Movie mediaplayer
     Us here at YourFreeiPod.com like to treat our members so we give away a free iPod every month.
     Attached to this email is the details on how you can claim your prize
     Sincerely,The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %Домен получателя% Antivirus - www.%доменная часть электронного адреса получателя%
     

   • Dear %Домен получателя% Member,
     Your e-mail account was picked from an online site www.YourFreeiPod.com. Since we did pull your name from the hat you are intitled to receive FREE 4GB Black iPod Nano.
     Please read the attachment in this email for further instructions. If you choose to ignore our request, you leave us no choice but to forfeit your winnings.
     Virtually yours,
     The YourFreeiPod Team
     +++ Attachment: No Virus found Scanned with Nod32
     +++ %Домен получателя% Antivirus - www.%доменная часть электронного адреса получателя%


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • accept-terms.zip
   • claim-infomation.zip
   • claim-prize.zip
   • document.zip
   • fat.zip
   • important-details.zip
   • merchandise.zip
   • readme.zip
   • ship-prize.zip
   • shipping-details.zip
   • terms.zip
   • winner-details.zip
   • winnings-report.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .wab; .adb; .tbb; .dbx; .asp; .php; .sht; .htm; .html; .pl; .txt;
      .xml; .cgi; .jsp


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Комбинируется с обнаруженным в файлах системы доменным именем.


Создание адресов получателя:
Для генерации адресов применяются следующие строки:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Комбинируется с обнаруженным в файлах системы доменным именем.


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • .gov; .mil; abuse; accoun; acketst; admin; admin; administrator;
      anyone; arin.; avp; berkeley; borlan; bsd; bsd; bugs; certific;
      contact; example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs;
      google; google; gov.; help; hotmail; iana; ibm.com; icrosof; icrosoft;
      ietf; info; info; inpris; isc.o; isi.e; kernel; linux; linux;
      listserv; mail; math; mit.e; mozilla; msn.; mydomai; nobody; nodomai;
      noone; not; nothing; ntivi; page; panda; pgp; postmaster; privacy;
      rating; register; rfc-ed; ripe.; root; ruslis; samples; secur; secur;
      sendmail; service; service; site; soft; somebody; someone; sopho; spm;
      submit; support; support; syma; tanford.e; the.bat; unix; unix;
      usenet; utgers.ed; webmaster; webmaster; www; you; your


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: tx.h**********.info
Порт: 59999
Канал: #iPod
Имя: %случайная буквенная комбинация%
Пароль: iPod



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Запустить файл
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Отправить электронную почту
    • Обновляется самостоятельно

 Разное Мьютекс:
Создается мьютекс:
   • iPod

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Daniel Constantin в(о) понедельник, 12 декабря 2005 г.
Описание обновил Daniel Constantin в(о) вторник, 13 декабря 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.