Net-Worm.Win32.Mytob.t

Net-Worm.Win32.Mytob.t ( «Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM ( McAfee), W32.Mytob.AH@mm ( Symantec), Win32.HLLM.MyDoom.22 ( Doctor Web), W32/Mytob-E ( Sophos), Win32/Mytob.AB@mm ( RAV), WORM_MYDOOM.GEN ( Trend Micro), Worm/Zusha.A ( H+BEDV), W32/Mytob.AX@mm ( FRISK), I-Worm/Mytob.AM ( Grisoft), Win32.Worm.Mytob.1.Gen ( SOFTWIN), Worm.Mytob.H-3 ( ClamAV), W32/Mytob.AO.worm ( Panda), Win32/Mytob.AG ( Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.

Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx) и Microsoft Windows DCOM RPС (MS03-026) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "taskgmr32.exe":

%System%\taskgmr32.exe

Также червь создает свои копии в корне диска C:\ со следующими именами:

C:\funny_pic.scr 
  C:\my_photo2005.scr 
  C:\see_this!!.scr

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
  [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
  [HKCU\Software\Microsoft\OLE]
  [HKLM\Software\Microsoft\OLE]
  "WINRUN" = "taskgmr32.exe"

Также в корне диска C:\ червь создает файл с именем "hellmsn.exe" (около 6 КБ), который детектируется Антивирусом Касперского, как Net-Worm.Win32.Mytob.f.

Червь создает уникальный идентификатор "H-E-L-L-B-O-T" для определения своего присутствия в системе.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или DCOM RPС, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb 
  asp 
  dbx 
  htm
  php
  pl 
  sht 
  tbb 
  wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
  .gov
  .mil
  accoun
  acketst
  admin
  anyone
  arin.
  avp
  berkeley
  borlan
  bsd
  bugs
  ca
  certific
  contact
  example
  feste
  fido
  foo.
  fsf.
  gnu
  gold-certs
  google
  gov.
  help
  iana
  ibm.com
  icrosof
  icrosoft
  ietf
  info
  inpris
  isc.o
  isi.e
  kernel
  linux
  listserv
  math
  me
  mit.e
  mozilla
  mydomai
  no
  nobody
  nodomai
  noone
  not
  nothing
  ntivi
  page
  panda
  pgp
  postmaster
  privacy
  rating
  rfc-ed
  ripe.
  root
  ruslis
  samples
  secur
  sendmail
  service
  site
  soft
  somebody
  someone
  sopho
  submit
  support
  syma
  tanford.e
  the.bat
  unix
  usenet
  utgers.ed
  webmaster
  you
  your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

adam 
  alex
  andrew 
  anna 
  bill 
  bob 
  brenda 
  brent 
  brian 
  britney
  bush
  claudia 
  dan 
  dave 
  david 
  debby 
  fred 
  george 
  helen 
  jack 
  james 
  jane 
  jerry 
  jim 
  jimmy 
  joe 
  john 
  jose 
  julie 
  kevin 
  leo 
  linda 
  lolita
  madmax
  maria 
  mary 
  matt 
  michael 
  mike 
  peter 
  ray 
  robert 
  sam 
  sandra
  serg 
  smith 
  stan 
  steve 
  ted 
  tom

Тема письма:

Выбирается произвольным образом из списка:

<пустое поле>
  Error
  Good day
  Hello
  Mail Delivery System
  Mail Transaction Failed
  read it immediately
  Server Report
  Status
  thanks!

Текст письма:

Выбирается произвольным образом из списка:

Mail transaction failed. Partial message is available. 
  The original message was included as an attachments. 
  The message contains Unicode characters and has been sent as a binary attachment.
  The message cannot be represented in 7-bit ASCII encoding and has been sent
  as a binary attachment. 
  Here are your banks documents.

Имя файла-вложения:

Выбирается произвольным образом из списка:

body
  data
  doc
  document
  file
  message
  readme
  test
  text

Вложения могут иметь одно расширение или двойное расширение, выбранное из списка:

bat
  cmd
  com
  doc
  exe
  htm
  tmp
  txt
  zip

Удаленное администрирование

Net-Worm.Win32.Mytob.t открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.1  www.symantec.com
  127.0.0.1       securityresponse.symantec.com
  127.0.0.1       symantec.com
  127.0.0.1       www.sophos.com
  127.0.0.1       sophos.com
  127.0.0.1       www.mcafee.com
  127.0.0.1       mcafee.com
  127.0.0.1       liveupdate.symantecliveupdate.com
  127.0.0.1       www.viruslist.com
  127.0.0.1       viruslist.com
  127.0.0.1       viruslist.com
  127.0.0.1       f-secure.com
  127.0.0.1       www.f-secure.com
  127.0.0.1       kaspersky.com
  127.0.0.1       www.avp.com
  127.0.0.1       www.kaspersky.com
  127.0.0.1       avp.com
  127.0.0.1       www.networkassociates.com
  127.0.0.1       networkassociates.com
  127.0.0.1       www.ca.com
  127.0.0.1       ca.com
  127.0.0.1       mast.mcafee.com
  127.0.0.1       my-etrust.com
  127.0.0.1       www.my-etrust.com
  127.0.0.1       download.mcafee.com
  127.0.0.1       dispatch.mcafee.com
  127.0.0.1       secure.nai.com
  127.0.0.1       nai.com
  127.0.0.1       www.nai.com
  127.0.0.1       update.symantec.com
  127.0.0.1       updates.symantec.com
  127.0.0.1       us.mcafee.com
  127.0.0.1       liveupdate.symantec.com
  127.0.0.1       customer.symantec.com
  127.0.0.1       rads.mcafee.com
  127.0.0.1       trendmicro.com
  127.0.0.1       www.microsoft.com
  127.0.0.1       www.trendmicro.com