Win32.Mytob.BY - Virensignatur

Symptome :

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
"http://www.lienvandekelder.be" = "%SYSTEM%\Lien Van de Kelder.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices
"http://www.lienvandekelder.be" = "%SYSTEM%\\Lien Van de Kelder.exe"

wobei %SYSTEM% auf den "System" Ordner in Windows 9x Systemen und den "System32" Ordner in WinNT Systemen verweist.

Technische Beschreibung:

1. Er schafft eine Mutex, damit nur eine Instanz von ihm in der Memory läuft:
H-3-1-1-B-0-T-3-F-1-X-3
2. Er kopiert sich selbst als %SYSTEM%\Lien Van de Kelder.exe
3. Er schafft/modifiziert die folgenden Registry Keys:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run

"http://www.lienvandekelder.be" = "%SYSTEM%\Lien Van de Kelder.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices
"http://www.lienvandekelder.be" = "%SYSTEM%\\Lien Van de Kelder.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \SharedAccess
"Start" = "4"

4. Er beginnt Emailadressen zu sammeln und sucht im Ordner "Temporary Internet Files" in den aktuellen Outlook Email Accountdateien nach Files mit den Endungen:

.txt
.htm
.sht
.jsp
.cgi
.xml
.php
.asp
.dbx
.tbb
.adb
.pl
.wab

Weiterhin vermeidet er bestimmte Emailaddressen, indem er die Adresse mit einer internen Liste von Substrings vergleicht.

5. Der Wurm benutzt seine eigene SMTP Maschine, um sich an die gesammelten Emailadressen zu verschicken und versucht dabei die Default Email Account Settings zu nutzen. Ebenso versucht er den Smtp Server umzuändern, indem er die folgenden Strings vor die gesammelten Email Domain Namen stellt:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

Das Emailformat ist:

From (vorgetäuscht, bedient sich vielerlei Namen)

Subject (eines der folgenden):

%Random string%
Notice: **Last Warning**
*DETECTED* Online User Violation
Your Email Account is Suspended For Security Reasons
Account Alert
Important Notification
*WARNING* Your Email Account Will Be Closed
Security measures
Email Account Suspension
Notice of account limitation

Body (einer der folgenden):

Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
The original message has been included as an attachment.
We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
We attached some important information regarding your account.
Please read the attached document and follow it's instructions.

Anhang (kann beginnen mit):

mail-info
email-doc
information
account-details
document
INFO
instructions
info-text
information

gefolgt von einer doppelten Endung (.tmp .doc .htm .txt) .exe .src .pif .zip
Beispiel: INFO.htm.scr

6. Verhindert oder beendet sogar die Ausführung vieler Sicherheitsprodukte wie beispielsweise Ihren Virenscanner.
7. Blockt den Zugang zu verschiedenen Seiten, die mit Sicherheitsprogrammen verbunden sind, indem er die HOSTS Datei des Systems modifiziert.
8. Hat Backdoor Fähigkeiten (irc bot):
Verbindet sich mit dem IRC Server irc.blackcarder.net und wählt den Kanal ##hb3f1x3
Einmal verbunden, lauscht er auf Kommandos, die möglicherweise von einem Angreifer erteilt werden. Die Kommandos können dem Angreifer u.a. erlauben:

Download/Ausführung/Update von Dateien (inklusive dem Wurm selbst)
Infos erlangen über das System und die Computer Konfiguration
stoppt den Wurm

Entfernung:

[ Zurück zum Anfang ]