Win32.Worm.Mytob.C - Virensignatur

Symptome :

- der Registry Entry LSA = "wfdmgr.exe" in den Keys:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices;
- HKCU\Software\Microsoft\OLE;
- HKCU\SYSTEM\CurrentControlSet\Control\LSA;
- HKLM\Software\Microsoft\OLE\LSA;
- HKLM\SYSTEM\CurrentControlSet\Control\LSA.

- Firewall Programme warnen vor "wfdmgr.exe", die versucht, einen lokalen Server zu schaffen und Verbindung mit 18.xxor.biz auf Port 13000 herzustellen.

Technische Beschreibung:

Dieser Wurm verbreitet sich per Email und nutzt die LSASS Schwachstelle; er enthält eine IRC Backdoor. Das Programm wurde geschrieben mit Visual C++ und gepackt mit UPack; Teile des Massenmailer Codes ähneln denen, die in der Mydoom Serie gefunden wurden.

Er kommt als Email in folgendem Format an:

From: (geschaffene Adresse)

Subject: eines der folgenden: "test", "hi", "hello", no subject, "Status", "Error", "Server Report", "Status", "Mail Transaction Failed", "Mail Delivery System" oder 3 bis 17 zufällige Buchstaben; manchmal ist der erste Buchstabe großgeschrieben; manchmal ist der ganze Subject Name in Großbuchstaben geschrieben.

Body: einer der folgenden:
- "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.";
- "The message contains Unicode characters and has been sent as a binary attachment.";
- 512 to 2559 random characters (in lines of approx. 70 characters);
- no text;
- "Mail transaction failed. Partial message is available.";
- "test".

Attachment: der Virus ist an die Mail angehängt:
- als eine ausführende Datei (namens: { "document", "message", "body", "readme", "doc", "text", "file", "data", 3 bis 7 zufällige Buchstaben oder "test" }.{ "pif", "scr", "exe", "cmd" or "bat" });
oder:
- als eine ZIP Datei, die einen ausführenden Namen enthält { "document", "message", "body", "readme", "doc", "text", "file", "data", 3 bis 7 zufällige Buchstaben oder "test" }.{ "htm", "txt" or "doc"}.<70 Leerstellen>.{"pif", "scr" or "exe"} oder wie oben erwähnt.

Wenn der User die Exe-Datei im Anhang öffnet, beginnt der Virus mit seiner Arbeit. Zuerst versucht er eine Mutex namens "G68" zu schaffen; wenn die schon existiert, stellt der Virus seine Arbeit ein, um zu verhindern, dass viele Instanzen zur gleichen Zeit laufen. Der Virus kopiert sich selbst in den System Ordner als "wfdmgr.exe", von dort führt er seine Aktivität aus.

Folgende Registry Einträge werden geschaffen, damit der Virus bei jedem Neustart läuft:
HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\LSA = "wfdmgr.exe", HKLM\Software\Microsoft\Windows\CurrentVersion \RunServices\LSA = "wfdmgr.exe", HKCU\Software\Microsoft\Windows\CurrentVersion \Run\LSA = "wfdmgr.exe". Einige andere Registry Einträge werden auch geschaffen: HKCU \Software\Microsoft\OLE\LSA, HKCU\SYSTEM\CurrentControlSet\Control\LSA, HKLM \Software\Microsoft\OLE\LSA, HKLM\SYSTEM\CurrentControlSet\Control\LSA.

Ein limitierter FTP Server ist gebunden an einen beliebigen Port zwischen 1000-65535; für jede "retrieve file" Anfrage wird eine Kopie des Wurms geliefert; dieser FTP Server wird später dazu genutzt, den Virus weiterzutransferieren an zu infizierende Computer.

Der Virus verbindet sich mit einem IRC Server 18.xx oder .biz:13000, wählt den Kanal "#m-rl1" und wartet auf private Nachrichten, die folgende Kommandos enthalten: authenticate, report version/uptime, leave server, restart virus, download a file (from an HTTP URL), download and execute a file, uninstall virus, update virus. (Um sich, als Antwort auf die uninstall und update Kommandos, komplett selbst aus dem System zu löschen, bringt der Virus eine Codes ein in einen ferngesteuerten Thread im Windows Explorer; der Code ist derjenige, der die Exe Datei löscht.).

Zwei Hauptthreads werden für das Massenmailen geschaffen: einer, der die Dateien durchsucht, um Emailadressen zu sammeln, ein anderer, der Nachrichten schafft und diese dann an die gesammelten Adressen verschickt. Emailaddressen werden gesammelt im Windows Address Book, im Temporary Internet Files Ordner (und Unterordner, bis zu 5 Ebenen tief) und (in einem Loop) von dem Systemlaufwerk und allen festen/ramdisk Laufwerken (und Unterordnern, bis zu 15 Ebenen tief). Folgende Dateien werden gescannt:
- Dateien ohne Endung (max. Größe: 20480 Bytes);
- *.txt (max. Größe: 81920 Bytes);
- *.htm*, *.sht*, *.php*, *.asp*, *.dbx*, *.adb*, *.pl (max. Größe: 204800 Bytes);
- *.tbb* (max. Größe: 1228800 Bytes);
- *.wab* (max. Größe: 8 MB).

Addressen mit Namen oder Domains, die einige nicht nennenswerte Substrings enthalten, werden gemieden.

Der andere Thread checkt, ob eine Internetverbindung besteht, before er Emails im oben beschriebenen Format verschickt. Das "From" Nachrichtenfeld ist (in den meisten Fällen) aus einer anderen Adresse aus der Liste gestaltet oder mit <3 bis 5 zufälligen Buchstaben>@{ "aol.com", "msn.com" oder "yahoo.com" }; unter bestimmten Umständen (wenn mindestens 3 Adressen in der Liste sind, aber die sind alle schon versendete Nachrichten, oder wenn mehr als 6 Sekunden vergangen sind, seit die letzte Adresse gefunden wurde), wird eine automatisch erschaffene Emailadresse (mit Namensteilen von einer festcodierten Liste und einer Domain, die teilweise aus einer anderen Adresse kopiert wurde) der Liste zugefügt. Emails werden versendet, indem sie direkt mit dem Mailserver des Empfängers verbunden werden.

Der Wurm verbindet sich mit anderen Computern im LAN/Internet und schickt ihnen einige SMB Pakete, die das Local Security Authority System Service veranlassen, zu versagen und Codes aus diesen Paketen auszuführen Codes (auf ungepatchten Windows Systemen). Der infizierende Code schafft einen "shell" auf TCP Port 4332. Der Virus verbindet sich mit dem erfolgreich geöffneten Shell und befielt den infizierten Computern, den Virus runterzuladen vom lokalen FTP Server (erschaffen vom Virus) und zu starten.

Die lokale IP a.b.c.d ist enthalten; wenn c größer als 20 ist, und in 60% der anderen Fälle ist die IP des ersten Computers, den der Virus zu infizieren versucht a.b.c.d+1 (wenn c größer als 20 ist, wird eine beliebige Zahl zwischen 0 und 19 von c abgezogen); in den anderen Fällen wird die erste IP willkürlich gewählt. Der Wurm versucht in einem Loop 30 aufeinanderfolgende IP's auszubeuten; der Loop ist unendlich.

Entfernung:

[ Zurück zum Anfang ]