Symptome :

Mytob.QA verbreitet sich via eMail mit dem Mailhinweis "Wichtig". Das soll heissen, dass diesejenigen eMails als "Wichtig" gekennzeichnet sind.
Ansonsten ist Mytob.QA relativ einfach zu erkennen, da diese eMails mit folgendem Betreff ankommen:

eMail-Betreff:
Account Alert!
eMail-Anhang:
ATT0000XX .HTML
wobei die beiden XX für eine variabele Nummer/Ziffer steht.

Technische Beschreibung:

Mytob.QA verbindet sich mit einem IRC-Server und erwartet dort seine Befehle von dem Angreifer. Diese Verbindung erlaubt es dem Angreifer den infizierten Rechner zu übernehmen.
Mytob.QA beendet folgende Sicherheitsapplikationen, in welchen diese Namen vorkommen:

Macfee
nod32
Norman
panda
sophos
antivir
avast
avg
avira
bitdefender
clamav
drweb
etrust
ewido
f-prot
ikarus
kaspersky
Symantec und noch einige weitere.

Mytob.QA generiert die Datei winemail.exe im Windows Unterordner System32. Diese Datei ist eine Kopie dieses Wurms.
Desweiteren generiert Mytob.QA die folgenden Einträge in der Windows-Registry:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Email = winemail.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Windows Email = winemail.exe

Bei diesen Einträgen in der Windows Registry stellt Mytob.QA sicher, dass er jedesmal, wenn Windows geladen wird, auch Mytob.QA geladen wird:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{07B4ED451FFFFFFFF} = 5B, 3E, 93, 0F, EF, 81, A6, A0, 7B, 07, B5, B9, 3A, B1, 48, A1, D9, 3A, B0, 6F, D4, B4, 20, AA, 9D, E2, 09, 9B, 1F, B1, 52, 3D, 7E, E3, 03, 23, 4F, DC, 6A, 78, D1, A2, 20, 5A, 56, E6, 50, 78, 41, F5, 9A, 4E, E1, 84, 84, A7, 66, 36, 4C, 7A, A4, 2D, 95, 1A, 31, 9D, 0B, 76, 2A, BD, D1, 2D, 8E, 14, 02, A8, 7C, 5D, 71, 8F, 01, 0E, EC, A3, E1, BA, B5, F5, 78, A7, 49, B0, CC, CA, 59, 9B, DD, 94, 06, 94, DA, 65, D5, 6E, E5, 21, 5A, 17, 7C, FC, 3D, 24, B5, D7, 48, 6F, A8, 6C, 6B, 69, E6, 8D, CA, 3E, 92, C5, 1B, AA, F2, C3, 0F
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{I7B4ED451FFFFFFFF} = 06, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{K7C0DB872A3F777C0} = hexadecimal data
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{R7C0DB872A3F777C0} = J}L
HKEY_CLASSES_ROOT\ CLSID\ {7B4ED451-7B4E-D451-7B4E-D4517B4ED451}

Means of transmission

Mytob.QA wird über eMail versendet und hat die Eigenart, dass er von Mailabsendern verschickt wird, die Sie in Ihrem Adressbuch haben. Das soll bedeuten, dass dieser Schädling vorgaukelt eine richtige Mail von einem Ihrer Freunde/Bekannten zu sein, den Sie in Ihrem eMail-Adressbuch haben.

eMail-Betreff:
Account Alert!
eMail-Anhang:
ATT0000XX .HTML
wobei die beiden XX für eine variabele Nummer/Ziffer steht.

Wenn der Mailanhang geöffnet wird, dann sehen Sie diese Nachricht:

Dear Valued Member,

According to our terms of services, you will have to confirm your e-mail by the following link or your account will be suspended within 24 hours for security reasons.

->Link zur Spam-domain

After following the instructions in the sheet, your account will not be interrupted and will continue as normal.

Thanks for your attention to this request. We apologize for any inconvenience.

Sincerely, Spam-domain Abuse Department

Ansonsten sei noch gesagt, dass Mytob.QA seine eigene SMTP-Maschine nutzt um sich weiter zu versenden.

In Zusammenarbeit mit Panda-Software.de

[ Zurück zum Anfang ]