Worm/Mytob.CL - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Mytob.CL
Обнаружен:	02/05/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	~70.000 байт.
Версия IVDF:	6.30.00.149

Общее Методы распространения:
   • Email
   • Локальная сеть

Псевдонимы (аliases):
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.gen
   • F-Secure: Net-Worm.Win32.Mytob.gen
   • Sophos: W32/Mytob-DX
   • Panda: W32/Mytob.GM
   • Grisoft: I-Worm/Mytob.DM
   • Eset: Win32/Mytob.BO
   • Bitdefender: Win32.Worm.Mytob.CR

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
   • %SYSDIR%\winnet32.exe
   • %SYSDIR%\taskmgr32.exe
   • C:\funny_pic.scr
   • C:\see_this!!.scr
   • C:\my_photo2005.scr

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\tmp%Шестнадцатиричное число%.tmp

– C:\xmsnn.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Mytob.F.1

Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WINTASK32 = taskmgr32.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • WINTASK32 =taskmgr32.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • WINTASK32 = taskmgr32.exe

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\OLE]
   • WINTASK32 = taskmgr32.exe

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • WINTASK32 = taskmgr32.exe

– [HKLM\SOFTWARE\Microsoft\Ole]
   • WINTASK32 = taskmgr32.exe

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • WINTASK32 = taskmgr32.exe

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса

Тема:
Одно из следующих:
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status
   • Error

Тема письма может содержать случайные знаки.

Тело:
– В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • Here are your banks documents.
   • The original message was included as an attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • Mail transaction failed. Partial message is available.

Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

– Начинается одним из следующих:
   • document
   • readme
   • doc
   • text
   • file
   • data
   • test
   • message
   • body

    Одно из следующих расширений файла:
   • .pif
   • .scr
   • .exe
   • .cmd
   • .bat
   • .zip

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • txt
   • htmb
   • shtl
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab

Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • john; alex; michael; james; mike; kevin; david; george; sam; andrew;
      jose; leo; maria; jim; brian; serg; mary; ray; tom; peter; robert;
      bob; jane; joe; dan; dave; matt; steve; smith; stan; bill; bob; jack;
      fred; ted; adam; brent; madmax; anna; brenda; claudia; debby; helen;
      jerry; jimmy; julie; linda; bush; britney; lolita; sandra

Комбинируется с доменным именем из следующего списка или с обнаруженными в файлах адресами

Одно из следующих доменных имен:
   • aol.com
   • msn.com
   • yahoo.com
   • juno.com
   • fbi.gov
   • cia.gov

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • avp; syma; icrosof; panda; sopho; borlan; inpris; example; mydomai;
      nodomai; ruslis; .gov; gov.; .mil; foo.; berkeley; unix; math; bsd;
      mit.e; gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana;
      ietf; rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst;
      pgp; tanford.e; utgers.ed; mozilla; root; info; samples; postmaster;
      webmaster; noone; nobody; nothing; anyone; someone; your; you; bugs;
      rating; site; contact; soft; somebody; privacy; service; help; not;
      submit; feste; gold-certs; the.bat; page; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; google; accoun; spm;
      fcnz; www; secur; abuse

Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Эксплойт:
Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS04-011 (Уязвимость LSASS)

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: xtg.q3w.org
Порт: 6667
Канал: #xmsn
Имя: [I]%случайная буквенная комбинация%
Пароль: squadron

– Вредоносный объект имеет способность собирать и передавать следующую информацию:
    • Время жизни вредоносной программы

– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл
    • Перезапустить систему

Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующим доменам:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com

Модифицированный хост-файл выглядит следующим образом:

Backdoor Открывается порт:

– taskmgr32.exe по TCP порту 10089 для обеспечения FTP сервера.

Разное Мьютекс:
Создается мьютекс:
• H-E-L-L-B-O-T

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Andrei Gherman Fri, 05 Oct 2007 13:46 (GMT+1)
Описание обновлено: Andrei Gherman Fri, 05 Oct 2007 14:20 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back