需要修复电脑?
聘请专家
病毒:BDS/Fanbot.B
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:37.888 字节
MD5 校检和:a1e3737d0b5dd6ee3fdb84170b8f7ab8
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Backdoor.Win32.Fanbot.b
   •  TrendMicro: WORM_MYTOB.KV
   •  F-Secure: W32/Mytob.MI@mm
   •  Bitdefender: Backdoor.Fanbot.B


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


副作用:
   • 阻止对特定网站的访问
   • 阻止对安全网站的访问
   • 植入文件
   • 记录按键
   • 注册表修改
   • 第三方控件


执行完毕之后会显示以下信息:


 文件 它将本身复制到以下位置:
   • %SYSDIR%\Phantom.exe



它会删除其本身最初执行的副本。



创建以下文件:

– c:\Shell.sys 此文件包含搜集的按键。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="userinit.exe,Phantom.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe Phantom.exe"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址
– 程序生成的地址


主题:
以下某项内容:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated

主题可能包含随机字母。


正文:

   • Dear user %来自收件人电子邮件地址的用户名%,
     
     You have successfully updated the password of your %来自电子邮件地址的收件人域名% account.
     
     If you did not authorize this change or if you need assistance with your account, please contact %来自电子邮件地址的收件人域名% customer service at: %发件人的电子邮件地址%
     
     Thank you for using %来自电子邮件地址的收件人域名%!
     The %来自电子邮件地址的收件人域名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的收件人域名% Antivirus - www.%来自电子邮件地址的收件人域名和顶级域%

   •
     Dear user %来自收件人电子邮件地址的用户名%,
     
     It has come to our attention that your %来自电子邮件地址的收件人域名% User Profile ( x ) records are out of date. For further details see the attached document.
     
     Thank you for using %来自电子邮件地址的收件人域名%!
     The %来自电子邮件地址的收件人域名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的收件人域名% Antivirus - www.%来自电子邮件地址的收件人域名和顶级域%

   •
     Dear %来自电子邮件地址的收件人域名% Member,
     
     We have temporarily suspended your email account %收件人的电子邮件地址%.
     
     This might be due to either of the following reasons:
     
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %来自电子邮件地址的收件人域名% account.
     
     Sincerely,The %来自电子邮件地址的收件人域名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %来自电子邮件地址的收件人域名% Antivirus - www.%来自电子邮件地址的收件人域名和顶级域%

   •
     Dear %来自电子邮件地址的收件人域名% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     
     Virtually yours,
     The %来自电子邮件地址的收件人域名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus found
     +++ %来自电子邮件地址的收件人域名% Antivirus - www..%来自电子邮件地址的收件人域名和顶级域%


附件:
附件的文件名是以下某个名称:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %随机字符串%

该附件是恶意软件本身的副本。

 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm; txt


为 FROM (“发件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support

它可能会将第一个字符串与以下字符串组合在一起:
   • %来自电子邮件地址的收件人域名%



为 TO (“收件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

它可能会将第一个字符串与以下字符串组合在一起:
   • %来自电子邮件地址的收件人域名%



避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; be_loyal:; slashdot; sourceforge;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; support; messagelabs; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


前面追加 MX 字符串:
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: **********.3322.org
通道: #xiaoyu
昵称: [Phantom]%随机字符串%



– 此恶意软件能够搜集并发送类似如下信息:
    • 搜集的电子邮件地址
    • CPU 速度
    • 可用磁盘空间
    • 可用内存
    • 恶意软件运行时间
    • 有关网络的信息
    • 内存大小
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 启动 DDoS ICMP 洪水攻击
    • 启动 DDoS SYN 洪水攻击
    • 启动 DDoS TCP 洪水攻击
    • 启动 DDoS UDP 洪水攻击
    • 与 IRC 服务器断开连接
    • 下载文件
    • 执行文件
    • 加入 IRC 通道
    • 结束进程
    • 离开 IRC 通道
    • 打开远程 Shell
    • 重新引导系统
    • 发送电子邮件
    • 关闭系统
    • 开始记录按键
    • 终止恶意软件
    • 终止进程
    • 自行更新
    • 上传文件
    • 访问网站

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,现有项目会被删除。

– 阻挡以下域名的访问:
   • jiangmin.com
   • www.jiangmin.com
   • Update2.JiangMin.com
   • Update3.JiangMin.com
   • rising.com.cn
   • www.rising.com.cn
   • online.rising.com.cn
   • iduba.net
   • www.iduba.net
   • kingsoft.com
   • db.kingsoft.com
   • scan.kingsoft.com
   • kaspersky.com.cn
   • www.kaspersky.com.cn
   • symantec.com.cn
   • www.symantec.com.cn
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.pandaguard.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.amazon.com
   • www.amazon.co.uk
   • www.amazon.ca
   • www.amazon.fr
   • www.paypal.com
   • paypal.com
   • moneybookers.com
   • www.moneybookers.com
   • www.ebay.com
   • ebay.com




修改后的hosts 文件将如下所示:


 其他 Mutex:
它会创建以下 Mutex:
   • [Phantom]


字符串:
此外,它还包含以下字符串:
   • [Phantom] 2005 by Evil[xiaoyu](2005.10.04). Special Thanks: x140d4n(my real&&best friend&&brother!!!).

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • PEPack

说明添加者: Razvan Olteanu 打开 2005年10月11日星期二
说明更新者: Razvan Olteanu 打开 2005年11月30日星期三

反馈 . . . .
https:// 为了你的安全,此窗口已加密。