Si tratta di una variante della nota famiglia di worm Mydoom, si diffonde attraverso la posta elettronica e all’interno delle reti peer-to-peer per la condivisione di file P2P. Per diffondersi usa le funzioni di un trojan di tipo BOT sfruttando la nota vulnerabilita LSASS.

Viene riconosciuto anche come: Mytob.T, Win32/Mytob.T, W32/Mytob.gen@MM, Worm.Mytob.Gen-1, WORM_MYDOOM.GEN, NewHeur_PE, W32/Mytob.T, Worm/Mytob.W , Win32:Mytob-U , I-Worm/Mytob.U , Win32.Worm.Mytob.Q , Worm.Mytob.T , W32/Mytob.AA@mm , Net-Worm.Win32.Mytob.q , Win32/Mytob.T , W32/Mytob.V , Worm/Mytob.W, I-Worm/Mytob.U, Win32.Worm.Mytob.Q, Worm.Mytob.T, Win32.HLLM.MyDoom.21, Win32.Mytob.X, W32/Mytob.AA@mm, Net-Worm.Win32.Mytob.Q, Net-Worm.Win32.Mytob.q, Win32/Mytob.T, W32/Mytob.V, W32.Mytob.U@mm

Dettagli tecnici

Quando si esegue il worm crea alcune copie di se stesso con i seguenti nomi, nella cartella di installazione di Windows:

ccsrs.exe
msgmr.exe
msnmsgs.exe
nethell.exe
stagmr.exe
sys32.exe
tagmr.exe
taskgmr.exe
taskmgr.exe
wfdgmr.exe

A seconda della versione del sistema operativo, le cartelle "c:\windows" e "c:\windows\system32" possono variare ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

X:\windows\system32
X:\winnt\system32
X:\windows\system

Dove “X” rappresenta il disco dove il sistema e stato installato (per default e C:)

Crea anche il seguente file nella root principale del disco C:

c:\hellmsn.exe

Successivamente, il worm esegue il file menzionato sopra, che a sua volta crea i seguenti file:

c:\eminem vs 2pac.scr
c:\funny pic.scr
c:\funny_pic.scr
c:\my_photo2005.scr
c:\photo album.scr
c:\see_this!!.scr
c:\windows\system32\2pac.txt

Modifica le seguenti chiavi all’interno del Registro di sistema, in modo tale da essere eseguito in automatico ad ogni avvio del sistema:

HKCU\Software\Microsoft\OLE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\System\CurrentControlSet\Control\Lsa

HKLM\SOFTWARE\Microsoft\OLE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Ad ognuna delle chiavi aggiunge uno dei seguenti valori:

Win TaskLoader = [file creato dal worm]
Windows Systemnmg = [file creato dal worm]
Windows Tagmsnger = [file creato dal worm]
WINTASK = [file creato dal worm]
WINTASKMGR = [file creato dal worm]

Per trovare gli indirizzi ai quali inviare dei messaggi infetti, il worm compie una ricerca all’interno di file aventi le estensioni che seguono:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.wab

Evita di inviarsi agli indirizzi che contengono le seguenti stringhe:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
bat
berkeley
borlan
bsd
bugs
ca
certific
contact
example
fcn
feste
fido
foo.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the
unix
usenet
utgers.ed
webmaster
you
your

Usa un proprio motore SMTP per inviare i suoi messaggi. Per selezionare il server, aggiunge all’inizio dei domini degli indirizzi scelti, una delle seguenti stringhe:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

Il messaggio che il worm utilizza per diffondersi presenta le seguenti caratteristiche:

Mittente: [indirizzo contraffatto]

Puo usare gli indirizzi creati con alcuni dei seguenti nomi, ai quali aggiunge un dominio scelto a caso dagli indirizzi ottenuti in precedenza:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Inoltre, puo usare i seguenti domini:

aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com

Oggetto: [uno dei seguenti]

[caratteri a caso]
[vuoto]
Error
God day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status

Testo del messaggio: [uno dei seguenti]:

[caratteri a caso]
[vuoto]

Here are your banks documents.

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and [...]

The original message was included as an attachment.

Allegato: [uno dei seguenti]

[caratteri a caso].???
body.???
data.???
doc.???
document.???
file.???
message.???
readme.???
test.???
text.???

Dove”???” puo essere una delle seguenti estensioni:

.bat
.cmd
.exe
.pif
.scr
.zip

Quando l’allegato ha l’estensione .ZIP l’archivio contiene il codice del worm con lo stesso nome e la doppia estensione, dove la prima estensione sara una delle seguenti:

.doc
.htm
.html
.tmp
.txt

Il worm crea un server FTP sfruttando una porta TCP scelta a caso tra la 1000 e la 65535

Il worm puo anche diffondersi sfruttando la vulnerabilita del processo LSASS (Local Security Authority Subsystem), a tale scopo effettua una ricerca per computer vulnerabili sfruttando la porta TCP 445.

Il componente BOT del worm usa la porta TCP 667 per connettersi a un server IRC, dove rimane in attesa di ricevere dei comandi. Usando la backdoor installata dal worm, un malintenzionato potra effettuare le seguenti azioni sul computer infettato:

* Scaricare file
* Eseguire file
* Eliminare file
* Aggiornare se stesso
* Ottenere informazioni sul computer infettato

Modifica il file HOSTS per impedire all’utente di accedere ai seguenti siti:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com

Infine cerca altri computer con le seguenti risorse condivise e, se la ricerca risulta positiva, tenta di copiare se stesso all’interno di queste usando i nomi dei file menzionati precedentemente:

Admin$
Admin$\system32
c$
c$\winnt\system32
d$
E$
lwc$
NETLOGON
print$
print$\system32
profile$
SYSVOL

Istruzioni per l'eliminazione manuale

1. Disattivare il ripristino automatico di configurazione in Windows XP/ME.
2. Riavviare il sistema in modalita provvisoria.
3. Eseguire una scansione del disco utilizzando l’antivirus aggiornato e cancellare tutti i file infetti.
4. Da Start, Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema.
5. Esaminare le seguenti chiavi di Registro:

HKCU\Software\Microsoft\OLE
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\System\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\OLE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SYSTEM\CurrentControlSet\Control\Lsa

6. In ognuna di queste chiavi, nel pannello di destra dell’editor di Registro, sotto la colonna “Nome”, cercare ed eliminare i seguenti valori:

Win TaskLoader = [file creato dal worm]
Windows Systemnmg = [file creato dal worm]
Windows Tagmsnger = [file creato dal worm]
WINTASK = [file creato dal worm]
WINTASKMGR = [file creato dal worm]

7. Chiudere l’editor del Registro di sistema.
8. Usando il “Trova” di Windows cercare il file HOSTS (senza estensione) all’interno di queste cartelle:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

9. Se appare, cliccare due volte su questo file (HOSTS). Selezionare “Scegliere il programma da utilizzare dall’elenco”, quindi “Accetta”, e dopo selezionare NOTEPAD.
NON CONTRASSEGNARE "Usa sempre quest'applicazione per aprire questo tipo di file”

10. Cancellare tutte le stringhe che iniziano con un numero, salvo questa:

127.0.0.1 localhost

11. Salvare i cambiamenti effettuati e uscire da Notepad
12. Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.