Worm/Mytob.61440 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Mytob.61440
Обнаружен:	03/05/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	58.368 байт.
Контрольная сумма MD5:	d4be7b51dee132f5814a3c7df7c5a464
Версия IVDF:	6.30.00.154

Общее Методы распространения:
   • Email
   • Локальная сеть

Псевдонимы (аliases):
   • Mcafee: W32/Mytob.gen@MM
   • Kaspersky: Net-Worm.Win32.Mytob.gen
   • TrendMicro: WORM_MYDOOM.DM
   • F-Secure: Net-Worm.Win32.Mytob.gen
   • Sophos: W32/Mytob-BT
   • Panda: W32/Mytob.CD.worm
   • Eset: Win32/Mytob.BL worm
   • Bitdefender: Win32.Worm.Mytob.LM

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Использует собственный почтовый движок
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
   • %SYSDIR%\taskgmrs.exe
   • c:\funny_pic.scr
   • c:\see_this!!.scr
   • c:\my_photo2005.scr

Создается файл:

– c:\hellmsn.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Mytob.F.1

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDRUN"="taskgmrs.exe"

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\OLE]
   • "WINDRUN"="taskgmrs.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "EnableDCOM"="Y"
   • "WINDRUN"="taskgmrs.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

Email Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:

От:
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Список возможных отправителей письма:
   • sandra
   • lolita
   • britney
   • bush
   • linda
   • julie
   • jimmy
   • jerry
   • helen
   • debby
   • claudia
   • brenda
   • anna
   • madmax
   • brent
   • adam
   • ted
   • fred
   • jack
   • bill
   • stan
   • smith
   • steve
   • matt
   • dave
   • dan
   • joe
   • jane
   • bob
   • robert
   • peter
   • tom
   • ray
   • mary
   • serg
   • brian
   • jim
   • maria
   • leo
   • jose
   • andrew
   • sam
   • george
   • david
   • kevin
   • mike
   • james
   • michael
   • alex
   • john

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Одно из следующих:
   • hello
   • Error
   • Status
   • Good day
   • SERVER REPORT
   • Mail Transaction Failed
   • Mail Delivery System

Тема письма иногда может оставаться пустой.
Тема письма может содержать случайные знаки.

Тело:
– В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • Here are your banks documents.

Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

– Начинается одним из следующих:
   • doc
   • file
   • text
   • data
   • body
   • readme
   • message
   • document
   • %случайная буквенная комбинация%

    Одно из следующих расширений файла:
   • .zip
   • .scr
   • .pif
   • .bat
   • .exe
   • .cmd

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab
   • adbh
   • tbbg
   • dbxn
   • aspd
   • phpq
   • shtl
   • htmb

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; be_loyal:; mozilla; utgers.ed; tanford.e; pgp; acketst; secur;
      isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet;
      fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math;
      unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai;
      example; inpris; borlan; sopho; panda; icrosof; syma; avp; .edu;
      abuse; www

Сетевое инфицирование Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)

Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.beast**********
Порт: 8080
Канал: #hell
Имя: [I]%случайная буквенная комбинация%
Пароль: hellabot

– Вредоносная программа обладает способностью выполнять следующие действия:
    • разорвать соединение с IRC сервером
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Загрузить файл

Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующим доменам:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com

Модифицированный хост-файл выглядит следующим образом:

Backdoor Открывается порт:

– taskgmrs.exe по TCP порту 10082 для обеспечения FTP сервера.

Разное Мьютекс:
Создается мьютекс:
• H-E-L-L-B-O-T

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• Upack

Краткое описание см. здесь.

Описание добавлено: Gabriel Mustata Fri, 05 Oct 2007 11:05 (GMT+1)
Описание обновлено: Gabriel Mustata Fri, 05 Oct 2007 16:22 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад