Имя:Worm/Mydoom.BC
Обнаружен:01/03/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:48.766 байт.
Контрольная сумма MD5:27ab71805c9fa8447c787e50843eceb5
Версия IVDF:6.30.00.6 - вторник, 1 марта 2005 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Mytob.gen
   •  Sophos: W32/Mytob-C
   •  Panda: W32/Mytob.C.worm
   •  Eset: Win32/Mytob.D
   •  Bitdefender: Worm.Generic.82094


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\wfdmgr.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "LSA"="wfdmgr.exe"



Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"



Добавляются следующие ключи реестра:

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "LSA"="wfdmgr.exe"

– [HKCU\Software\Microsoft\OLE]
   • "LSA"="wfdmgr.exe"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Новое значение:
   • "LSA"="wfdmgr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Новое значение:
   • "LSA"="wfdmgr.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Вредоносная программа отправляет почту с помощью MAPI интерфейса. Устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тело:
Тело письма имеет один из следующих видов:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    Имеет одно из следующих фальшивых расширений файлов:
   • bat
   • cmd
   • exe
   • scr
   • pif

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Комбинируется с обнаруженным в файлах системы доменным именем.


MX Server:
Обладает способностью связаться со следующими MX серверами:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса. Первый блок созданного IP адреса совпадает с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.bl**********.net
Порт: 6667
Канал: #d3
Имя: %случайная буквенная комбинация%


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Запустить файл
    • Проверка сети
    • Обновляется самостоятельно

 Backdoor к произвольному TCP порту для обеспечения FTP сервера.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 5 марта 2010 г.
Описание обновил Petre Galan в(о) пятница, 5 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.