Worm.Win32_Mytob-X

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

A son exécution, Mytob-X se copie ici :

%System%\NETHELL.EXE
%System%\taskgmr.exe
c:\see_this!!.scr
c:\my_photo2005.scr
C:\photo album.scr


Pour se lancer à chaque démarrage de Windows, il ajoute les entrées de registre suivantes :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WINTASK = "taskgmr.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WINTASK = "taskgmr.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\WINTASK = "taskgmr.exe"
HKCU\Software\Microsoft\OLE\WINTASK = "taskgmr.exe"
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\WINTASK = "taskgmr.exe"
HKLM\Software\Microsoft\OLE\WINTASK = "taskgmr.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\WINTASK = "taskgmr.exe"


Puis dépose le fichier C:\HELLMSN.EXE.

Le ver crée également un mutex nommé "ggmutexk2" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

N.B. : Mytob-X détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Mytob-X peut aussi laisser une copie du ver, sous le nom BINGOO.EXE dans le répertoire %System%, dans sa tentative de propagation. Par la même occasion, il peut laisser un fichier 2PAC.TXT contenant un script FTP.


Propagation

Par e-mail

Le ver commence sa recherche d'adresses e-mail en lisant le carnet d'adresses référencé par la valeur de registre suivante :

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name

Puis il cherche dans le répertoire Temporary Internet Files, puis dans les lecteurs non-amovibles (de C: à Z:), les fichiers ayant les extensions suivantes :

adb
asp
dbx
htm
php
sht
tbb
txt
wab


Mytob-X ne traite pas les adresses contenant les mots suivants :

anyone
bugs
ca
contact
feste
gold-certs
help
info
me
no
nobody
noone
not
nothing
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
submit
the.bat
webmaster
www
you
your
.edu
.gov
.mil
abuse
accoun
acketst
admin
arin.
avp
berkeley
borlan
bsd
certific
example
spam
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
icrosoft
ietf
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
mydomai
nodomai
ntivi
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
spm
support
syma
tanford.e
unix
usenet
utgers.ed


Le ver peut se connecter à n'importe quel serveur de messagerie. Il tente d'utiliser l'un des serveurs SMTP dont les adresses sont listées dans cette clef de registre :

HKCU\Software\Microsoft\Internet Account Manager\Accounts

Si il échoue, il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée. Si il échoue encore, il tente une requête "DNS lookup" en utilisant les préfixes suivants :

gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.


Si cette manipulation fonctionne, le ver utilise cette adresse électronique du domaine en tant que nom d'utilisateur pour l'envoi de son e-mail :

Objet

{vierge}
{caractères aléatoires}
Good day
Hello
Mail Transaction Failed
Mail Delivery System
Server Report
Error
Status


Corps du message

- The original message was included as an attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- Here are your banks documents.

Pièce-jointe

>Le fichier contenu dans le fichier ZIP porte le même nom que ce dernier, cependant, les fichiers ont une double-extension ; la première est soit .txt soit .htm, suivi de beaucoup d'espaces (70 caractères) puis la deuxième extension est l'une d'elles :

.pif
.exe
.bat
.scr
.cmd



Vulnérabilité Windows

Mytob-X ouvre un serveur FTP sur le port 10087 de la machine infectée.

Le ver génère une liste d'adresses IP et tente de se connecter soit sur le port 445 de l'adresse cible afin d'exploiter une faille propre à Windows (LSASS : http://www.microsoft.com/technet/security/bulletin/MS03-011.mspx) ou sur le port 135, en exploitant encore une faille liée à Windows (DCOM RPC : http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx). Par l'intermédiaire de ces vulnérabilités, le ver tente d'exécuter un petit bout de code, sur l'ordinateur victime, lui permettant de créer un serveur FTP par lequel le ver sera transmis.


Propagation par MSN Messenger

Le fichier HELLMSN.EXE, déposé par Mytob-X, vérifie l'existence des fichiers copiés :

c:\funny_pic.scr
c:\eminem vs 2pac.scr
c:\photo album.scr


Le fichier tente ensuite de répandre le ver par MSN Messenger en envoyant des copies des 3 fichiers ci-dessus à tous les contacts connectés.


Partages réseau

Mytob-X tente de se répandre par le réseau ipc$ de la machine infectée. Si cela fonctionne, il liste tous les noms d'utilisateurs du système. Il tente ensuite de compromettre le système ciblé en utilisant les noms d'utilisateurs collectés en combinaison avec les mots de passe suivants :

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000
0000
00000
000000
00000000
007
0wn3d
0wned
110
111
111111
11111111
121
121212
123
123123
123321
1234
12345
123456
1234567
12345678
123456789
12346
123467
1234678
12346789
123467890
1234qwer
123abc
123asd
123qwe
2002
2003
2600
54321
654321
aaa
abc
abc123
abcd
access
account
accounting
accounts
adm
ADMIN
admin123
Administrador
Administrateur
administrator
afro
asd
backup
barbara
blank
bruce
capitol
changeme
CISCO
compaq
control
ctx
data
database
databasepass
databasepassword
db1
db1234
dbpass
dbpassword
default
dell
domain
domainpass
domainpassword
exchange
exchnge
fish
frank
freddy
fuck
glen
god
GUEST
headoffice
heaven
hell
home
homeuser
ian
internet
intranet
joan
kate
katie
lan
lee
login
loginpass
luke
mail
main
mass
neil
nokia
none
null
oem
oeminstall
oemuser
office
orange
outlook
owa
pass
pass123
pass1234
passphra
passwd
password
password1
password123
pink
qaz
qwe
qwerty
ron
ROOT
sage
server
sex
siemens
spencer
sql
sqlpass
staff
student
student1
sue
susan
system
teacher
technical
test
turnip
Unknown
User
user1
usermane
username
userpassword
web
win
win2000
win2k
win98
windose
windows
windows2k
windows95
windows98
windowsME
WindowsXP
windowz
windoze
windoze2k
windoze95
windoze98
windozeME
windozexp
wine
wing
winnt
winpass
winston
winxp
wired
xxx
xxxx
xxxxx
xxxxxx
xxxxxxx
xxxxxxxx
xxxxxxxxx
yellow


Si cette attaque réussie, le ver se copie dans les partages suivants, sous le nom de taskgmr.exe :

\e$\
\profiles$\
\SYSVOL\
\NETLOGON\
\lwc$\
\d$\
\c$\
\c$\winnt\system32\
\print$\
\print$\system32\
\ipc$\
\ipc$\system32\
\Admin$\
\Admin$\system32\


S'il se copie avec succès, le ver planifie une tâche pour lancer le fichier sur l'ordinateur distant.


Porte-dérobée

Le ver permet à une personne malveillante d'obtenir un accès non autorisé au système infecté. Le ver se connecte à un serveur et un canal IRC particulier sur le port 13000. Il attend ensuite les instructions transmise sur le canal. Ces dernières sont multiples :

- Téléchargement de fichiers
- Téléchargement de mise à jour du ver
- Exécution de fichiers
- Informations sur le version du ver
- Informations en temps réels du système
- Possibilité de répandre le ver via une faille liée à Windows (DCOM RPC : http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)

Mytob-X modifie le fichier HOSTS afin de rediriger l'accès aux noms de domaine suivants vers le localhost :

www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.microsoft.com
www.trendmicro.com





http://fr.redtram.com/