Net-Worm.Win32.Mytob.h

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться.

Net-Worm.Win32.Mytob.h («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.O@mm (Symantec), Win32.HLLM.MyDoom.22 (Doctor Web), W32/Mytob-E (Sophos), Win32/Mytob.I@mm (RAV), WORM_MYDOOM.GEN (Trend Micro), Worm/Zusha.A (H+BEDV), W32/Mytob.L@mm (FRISK), Win32.Worm.Mytob.H (SOFTWIN), Worm.Mytob.H-3 (ClamAV), W32/Mytob.G.worm (Panda)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в упакованном виде — примерно 50 КБ, размер в распакованном виде может быть от 150 КБ до 260 КБ.

Вирус распространяется, используя уязвимость MS04-011.

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь основан на исходных кодах Email-Worm.Win32.Mydoom.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем taskgmr.exe:

%System%\taskgmr.exe

Также червь создает свои копии в корне диска C:\ со следующими именами:

 
 C:\funny_pic.scr
 C:\my_photo2005.scr
 C:\see_this!!.scr
 

Затем червь регистрирует себя в ключах автозапуска системного реестра:

 
 [HKCU\Software\Microsoft\OLE]
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Run]
 [HKCU\SYSTEM\CurrentControlSet\
 Control\Lsa]
 [HKLM\Software\Microsoft\OLE]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\RunServices]
 [HKLM\SYSTEM\CurrentControlSet\
 Control\Lsa]
  "WINTASK"="taskgmr.exe"
 

Также в корне диска C: червь создает файл с именем hellmsn.exe (около 6 КБ), который детектируется Антивирусом Касперского как Net-Worm.Win32.Mytob.f.

Распространение через LSASS-уязвимость

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

 
 adb
 asp
 dbx
 htm
 php
 pl
 sht
 tbb
 wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

 
 .edu
 .gov
 .mil
 accoun
 acketst
 admin
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bugs
 ca
 certific
 contact
 example
 feste
 fido
 foo.
 fsf.
 gnu
 gold-certs
 google
 gov.
 help
 iana
 ibm.com
 icrosof
 icrosoft
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 listserv
 math
 me
 mit.e
 mozilla
 mydomai
 no
 nobody
 nodomai
 noone
 not
 nothing
 ntivi
 page
 panda
 pgp
 postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 submit
 support
 syma
 tanford.e
 the.bat
 unix
 usenet
 utgers.ed
 webmaster
 you
 your
 

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

 
     * adam
     * alex
     * andrew
     * anna
     * bill
     * bob
     * brenda
     * brent
     * brian
     * britney
     * bush
     * claudia
     * dan
     * dave
     * david
     * debby
     * fred
     * george
     * helen
     * jack
     * james
     * jane
     * jerry
     * jim
     * jimmy
     * joe
     * john
     * jose
     * julie
     * kevin
     * leo
     * linda
     * lolita
     * madmax
     * maria
     * mary
     * matt
     * michael
     * mike
     * peter
     * ray
     * robert
     * sam
     * sandra
     * serg
     * smith
     * stan
     * steve
     * ted
     * tom 

Тема письма:

Выбирается из списка:

 
     * Error
     * Good Day
     * hello
     * hi
     * Mail Delivery System
     * Mail Transaction Failed
     * Server Report
     * Status 
 

Текст письма:

Выбирается из списка:

 
     * Here are your banks documents.
     * Mail transaction failed. Partial message is available.
     * The message cannot be represented in 
 7-bit ASCII encoding and has been sent as a binary attachment.
     * The message contains Unicode characters and has been sent 
 as a binary attachment.
     * The original message was included as an attachments. 

Имя файла-вложения:

Выбирается из списка:

 
     * body
     * data
     * doc
     * document
     * file
     * message
     * readme
     * test
     * text 

Вложения могут иметь одно из расширений:

     * bat
     * cmd
     * doc
     * exe
     * htm
     * pif
     * scr
     * tmp
     * txt
     * zip 

Удаленное администрирование

Net-Worm.Win32.Mytob.h открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенные строки и, тем самым, блокируя обращения к данным сайтам:

 
 127.0.0.1   avp.com
 127.0.0.1   ca.com
 127.0.0.1   customer.symantec.com
 127.0.0.1   dispatch.mcafee.com
 127.0.0.1   download.mcafee.com
 127.0.0.1   f-secure.com
 127.0.0.1   kaspersky.com
 127.0.0.1   liveupdate.symantec.com
 127.0.0.1   liveupdate.symantecliveupdate.com
 127.0.0.1   mast.mcafee.com
 127.0.0.1   mcafee.com
 127.0.0.1   my-etrust.com
 127.0.0.1   nai.com
 127.0.0.1   networkassociates.com
 127.0.0.1   rads.mcafee.com
 127.0.0.1   secure.nai.com
 127.0.0.1   securityresponse.symantec.com
 127.0.0.1   sophos.com
 127.0.0.1   symantec.com
 127.0.0.1   trendmicro.com
 127.0.0.1   update.symantec.com
 127.0.0.1   updates.symantec.com
 127.0.0.1   us.mcafee.com
 127.0.0.1   viruslist.com
 127.0.0.1   www.avp.com
 127.0.0.1   www.ca.com
 127.0.0.1   www.f-secure.com
 127.0.0.1   www.kaspersky.com
 127.0.0.1   www.mcafee.com
 127.0.0.1   www.microsoft.com
 127.0.0.1   www.my-etrust.com
 127.0.0.1   www.nai.com
 127.0.0.1   www.networkassociates.com
 127.0.0.1   www.sophos.com
 127.0.0.1   www.symantec.com
 127.0.0.1   www.trendmicro.com
 127.0.0.1   www.viruslist.com  
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.