Имя:Worm/Mytob.IL
Обнаружен:11/07/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:32.804 байт.
Контрольная сумма MD5:0caef9bac137c033af9c5dfa37cbf2ad
Версия IVDF:6.31.00.180 - понедельник, 11 июля 2005 г.

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Mcafee: W32/Mytob.gen
   •  Sophos: W32/Mytob-DI
   •  Panda: W32/Spamta.gen.worm
   •  Eset: Win32/Mydoom.BI
   •  Bitdefender: Win32.Worm.Mytob.BT


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\M0USE.exe



Файл будет переписан.
%SYSDIR%\drivers\etc\hosts

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Userinterface Report3r"="M0USE.exe"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • "Shell"="Explorer.exe M0USE.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Новое значение:
   • "Start"=dword:0x00000004

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • *DETECTED* Online User Violation
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • YOUR ACCOUNT IS SUSPENDED
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated



Тело:
–  Пустой текст письма.


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • iphp.zip
   • irscd.zip
   • new-password.zip
   • password.zip
   • rfb.zip
   • ums.zip
   • updated-password.zip
   • yzmeisu.zip

–  Начинается одним из следующих:
Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab; html; adb; tbb; dbx; php; xml; cgi; jsp; sht; htm


Создание адресов получателя:
Для генерации адресов применяются следующие строки:
   • sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

Комбинируется с доменным именем из следующего списка или с обнаруженными в файлах адресами
Для генерации адресов применяются следующие строки:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; ca; feste; submit; not; help; service; privacy;
      somebody; no; soft; contact; site; rating; bugs; me; you; your;
      someone; anyone; nothing; nobody; noone; webmaster; postmaster;
      samples; info; root



Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: name.turkinti**********.com
Порт: 7745
Канал: #news
Имя: ]XP[%Число%
Пароль: comeon


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Остановить процесс
    • Обновляется самостоятельно

 Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующим доменам:
   • 127.0.0.1 www.symantec.com; 127.0.0.1 securityresponse.symantec.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.sophos.com;
      127.0.0.1 sophos.com; 127.0.0.1 www.mcafee.com; 127.0.0.1 mcafee.com;
      127.0.0.1 liveupdate.symantecliveupdate.com;
      127.0.0.1 www.viruslist.com; 127.0.0.1 viruslist.com;
      127.0.0.1 viruslist.com; 127.0.0.1 f-secure.com;
      127.0.0.1 www.f-secure.com; 127.0.0.1 kaspersky.com;
      127.0.0.1 kaspersky-labs.com; 127.0.0.1 www.avp.com;
      127.0.0.1 www.kaspersky.com; 127.0.0.1 avp.com;
      127.0.0.1 www.networkassociates.com; 127.0.0.1 networkassociates.com;
      127.0.0.1 www.ca.com; 127.0.0.1 ca.com; 127.0.0.1 mast.mcafee.com;
      127.0.0.1 my-etrust.com; 127.0.0.1 www.my-etrust.com;
      127.0.0.1 download.mcafee.com; 127.0.0.1 dispatch.mcafee.com;
      127.0.0.1 secure.nai.com; 127.0.0.1 nai.com; 127.0.0.1 www.nai.com;
      127.0.0.1 update.symantec.com; 127.0.0.1 updates.symantec.com;
      127.0.0.1 us.mcafee.com; 127.0.0.1 liveupdate.symantec.com;
      127.0.0.1 customer.symantec.com; 127.0.0.1 rads.mcafee.com;
      127.0.0.1 trendmicro.com; 127.0.0.1 pandasoftware.com;
      127.0.0.1 www.pandasoftware.com; 127.0.0.1 www.trendmicro.com;
      127.0.0.1 www.grisoft.com; 127.0.0.1 www.microsoft.com;
      127.0.0.1 microsoft.com; 127.0.0.1 www.virustotal.com;
      127.0.0.1 virustotal.com; 127.0.0.1 www.amazon.com;
      127.0.0.1 www.amazon.co.uk; 127.0.0.1 www.amazon.ca;
      127.0.0.1 www.amazon.fr; 127.0.0.1 www.paypal.com;
      127.0.0.1 paypal.com; 127.0.0.1 moneybookers.com;
      127.0.0.1 www.moneybookers.com; 127.0.0.1 www.ebay.com;
      127.0.0.1 ebay.com


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) понедельник, 23 ноября 2009 г.
Описание обновил Petre Galan в(о) вторник, 24 ноября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.