Имя:Worm/Wootbot.121772
Обнаружен:30/01/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:121.772 байт.
Контрольная сумма MD5:de2c58cd6f53cf9ae963f9131a6e7202
Версия VDF:6.33.00.171

 Общее Метод распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Net-Worm.Win32.Domwoot.a
   •  VirusBuster: I-Worm.Mytob.QB
   •  Eset: Win32/Mytob.RP


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\activesx.exe

 Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Driver"="activesx.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Driver"="activesx.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Driver"="activesx.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Driver"="activesx.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Win32 Driver"="activesx.exe"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\shit
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\activesx.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%шестнадцатиричное значение%
   • "DeleteFlag"=dword:00000001

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Одно из следующих:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended



Тело:
Тело письма имеет один из следующих видов:

   • Dear %доменная часть электронного адреса получателя% Member,
     We have temporarily suspended your email account %Электронный адрес получателя%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %доменная часть электронного адреса получателя% account.
     Sincerely,The %доменная часть электронного адреса отправителя% Support Team

   • Dear%доменная часть электронного адреса получателя% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %доменная часть электронного адреса отправителя% Support Team

   • Some information about your %доменная часть электронного адреса получателя% account is attached.
     The %доменная часть электронного адреса отправителя% Support Team


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • readme.zip
   • document.zip
   • account-report.zip
   • account-info.zip
   • email-details.zip
   • account-details.zip
   • important-details.zip
   • information.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab; adb; tbb; dbx; php; sht; htm; html; xml; cgi; jsp; txt; tmp


Создание адресов получателя:
Для генерации адресов применяются следующие строки:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • register
   • mail
   • administrator
   • service



Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn;
      antivi; anyone; arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs;
      certific; contact; duba; example; fbi; fcnz; feste; fido; foo.; f-pro;
      freeav; f-secur; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      jiangmin; kaspersky; kernel; linux; listserv; master; math; mcafee;
      messagelabs; mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone;
      norman; norton; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; rising; root; ruslis; samples; sdbot;
      secur; sendmail; service; site; slashdot; soft; somebody; someone;
      sopho; sourceforge; spm; submit; support; syma; symantec; tanford.e;
      the.bat; unix; usenet; utgers.ed; viruslis; webmaster; www; you; your


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: mmu.fearofthe**********
Порт: 6668
Канал: #f4r#
Имя: RooT-%случайная буквенная комбинация%
Пароль: f4rspass



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Редактировать реестр
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Остановить процесс
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Регистрация службы
    • Перезапустить систему
    • Отправить электронную почту
    • Запуск процедуры распространения
    • Обновляется самостоятельно
    • Загрузить файл

 Backdoor Открывается порт:

%SYSDIR%\activesx.exe к произвольному TCP порту для обеспечения FTP сервера.

 Кража – Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=; card=; cctype=;
      ccnumber=; amex=; visa=; mastercard=; VISA=; pass=; login=; password=;
      passwd=; :.login; :!login; :.secure; :!advscan; :.advscan; :.ipscan;
      :!ident; :.ident

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Boldea в(о) понедельник, 25 сентября 2006 г.
Описание обновил Irina Boldea в(о) понедельник, 25 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.