Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Mytob.LZ
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:94.689 字节
MD5 校检和:2f172aa5095904316ae33e5d04edffb5
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 电子邮件
   • 局域网络


别名:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.cu
   •  TrendMicro: WORM_MYTOB.NB
   •  F-Secure: Net-Worm.Win32.Mytob.cu
   •  Sophos: W32/Mytob-FZ
   •  Panda: W32/Mydoom.CA.worm
   •  VirusBuster: I-Worm.Mytob.OP
   •  Eset: Win32/Mytob.NE
   •  Bitdefender: Win32.Worm.MyTob.DL


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 使用自置的电子邮件引擎
   • 注册表修改
   • 利用软件漏洞
   • 窃取信息
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %SYSDIR%\msconfgh.exe

 注册表 会在无限循环中连续添加以下注册表项,以便在重新引导之后运行进程。

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Cnfg32" = "msconfgh.exe"



会添加以下注册表项,以便在系统重新引导之后加载服务:

– HKLM\SYSTEM\CurrentControlSet\Services\Win32 Cnfg32
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\msconfgh.exe"
   • "DisplayName"="Win32 Cnfg32"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%十六进制值%
   • "DeleteFlag"=dword:00000001

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址
– 程序生成的地址


主题:
以下某项内容:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

主题可能包含随机字母。


正文:
电子邮件的正文如下所示:

   • Dear %来自电子邮件地址的收件人域名% Member,
     We have temporarily suspended your email account %收件人的电子邮件地址%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %来自电子邮件地址的收件人域名% account.
     Sincerely,The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%

   • Dear user %来自收件人电子邮件地址的用户名% ,
     You have successfully updated the password of your %来自电子邮件地址的收件人域名% account.
     If you did not authorize this change or if you need assistance with your account, please contact %来自电子邮件地址的发件人域名% customer service at: %发件人的电子邮件地址%
     Thank you for using%来自电子邮件地址的发件人域名%!
     The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%

   • Dear%来自电子邮件地址的收件人域名% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus found
     +++%来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%

   • Dear user %来自收件人电子邮件地址的用户名% ,
     It has come to our attention that your %来自电子邮件地址的发件人域名% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %来自电子邮件地址的发件人域名% !
     The %来自电子邮件地址的发件人域名% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的发件人域名% Antivirus - www.%来自电子邮件地址的发件人域名%


附件:
附件的文件名是以下某个名称:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %随机字符串%.zip

该附件是包含恶意软件本身副本的存档。



电子邮件如下所示:


 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • wab; adb; tbb; dbx; asp; php; sht; htm; html; xml; cgi; jsp; txt; tmp


为 FROM (“发件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



为 TO (“收件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


前面追加 MX 字符串:
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。


漏洞攻击:
它会利用以下漏洞攻击:
– MS04-007 (ASN.1 漏洞)
– MS04-011 (LSASS 漏洞)


IP 地址生成:
它会创建随机 IP 地址,但会保留自己地址的前两个八位位组。 之后,它会尝试与所创建的地址建立连接。


感染进程:
在被入侵的计算机上创建 FTP 脚本,以便将恶意软件下载到远程位置。

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: f00r.dy**********
端口: 6667
通道: #tob
密码: (null)



– 此恶意软件能够搜集并发送类似如下信息:
    • 缓存密码
    • CPU 速度
    • 有关驱动程序的详细信息
    • 可用磁盘空间
    • 可用内存
    • 恶意软件运行时间
    • 有关网络的信息
    • 运行中进程的信息
    • 内存大小
    • 用户名
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 启动 DDoS SYN 洪水攻击
    • 启动 DDoS UDP 洪水攻击
    • 下载文件
    • 执行文件
    • 结束进程
    • 执行网络扫描
    • 执行端口重定向
    • 重新引导系统
    • 发送电子邮件
    • 关闭系统
    • 开始记录按键
    • 启动传播例程
    • 终止恶意软件
    • 终止进程
    • 自行更新
    • 上传文件

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,不会修改已存在的项目。

– 阻挡以下域名的访问:
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.amazon.com
   • www.amazon.co.uk
   • www.amazon.ca
   • www.amazon.fr
   • www.paypal.com
   • paypal.com
   • moneybookers.com
   • www.moneybookers.com
   • www.ebay.com
   • ebay.com




修改后的hosts 文件将如下所示:


 后门程序 会打开以下端口:

– %SYSDIR%\msconfgh.exe 在随机 TCP 端口上 以便提供 FTP 服务器。

 窃取 – 它会使用网络嗅探器来检查以下字符串:
   • :.login
   • :!login
   • :.secure
   • :!advscan
   • :.advscan
   • :.ipscan
   • :!ident
   • :.ident

– 在访问 URL 中包含以下某个子字符串的网站之后,会启动日志记录例程:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– 它会捕获:
    • 互联网流量
    • 登录信息

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • MEW

Açıklamayı yerleştiren Irina Boldea tarihinde 31 Mart 2006 Cuma
Açıklamayı güncelleyen: Irina Boldea tarihinde 19 Nisan 2006 Çarşamba

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.