Net-Worm.Win32.Mytob.h
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться.
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в упакованном виде — примерно 50 КБ, размер в распакованном виде может быть от 150 КБ до 260 КБ.
Вирус распространяется, используя уязвимость MS04-011.
Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь основан на исходных кодах Email-Worm.Win32.Mydoom.
Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем taskgmr.exe:
%System%\taskgmr.exe
Также червь создает свои копии в корне диска C:\ со следующими именами:
C:\funny_pic.scr C:\my_photo2005.scr C:\see_this!!.scr
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\OLE] [HKCU\Software\Microsoft\Windows\ CurrentVersion\Run] [HKCU\SYSTEM\CurrentControlSet\ Control\Lsa] [HKLM\Software\Microsoft\OLE] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices] [HKLM\SYSTEM\CurrentControlSet\ Control\Lsa] "WINTASK"="taskgmr.exe"
Также в корне диска C: червь создает файл с именем hellmsn.exe (около 6 КБ), который детектируется Антивирусом Касперского как Net-Worm.Win32.Mytob.f.
Распространение через LSASS-уязвимость
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb asp dbx htm php pl sht tbb wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
.edu .gov .mil accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя один из следующих вариантов:
* adam
* alex
* andrew
* anna
* bill
* bob
* brenda
* brent
* brian
* britney
* bush
* claudia
* dan
* dave
* david
* debby
* fred
* george
* helen
* jack
* james
* jane
* jerry
* jim
* jimmy
* joe
* john
* jose
* julie
* kevin
* leo
* linda
* lolita
* madmax
* maria
* mary
* matt
* michael
* mike
* peter
* ray
* robert
* sam
* sandra
* serg
* smith
* stan
* steve
* ted
* tom Тема письма:
Выбирается из списка:
* Error
* Good Day
* hello
* hi
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
Текст письма:
Выбирается из списка:
* Here are your banks documents.
* Mail transaction failed. Partial message is available.
* The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent
as a binary attachment.
* The original message was included as an attachments. Имя файла-вложения:
Выбирается из списка:
* body
* data
* doc
* document
* file
* message
* readme
* test
* text Вложения могут иметь одно из расширений:
* bat
* cmd
* doc
* exe
* htm
* pif
* scr
* tmp
* txt
* zip Удаленное администрирование
Net-Worm.Win32.Mytob.h открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенные строки и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com
Наш канал защищен лучше, чем ваш компьютер!
Но доступ к знаниям открыт для всех