Net-Worm.Win32.Mytob.t
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.
Net-Worm.Win32.Mytob.t ( «Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM ( McAfee), W32.Mytob.AH@mm ( Symantec), Win32.HLLM.MyDoom.22 ( Doctor Web), W32/Mytob-E ( Sophos), Win32/Mytob.AB@mm ( RAV), WORM_MYDOOM.GEN ( Trend Micro), Worm/Zusha.A ( H+BEDV), W32/Mytob.AX@mm ( FRISK), I-Worm/Mytob.AM ( Grisoft), Win32.Worm.Mytob.1.Gen ( SOFTWIN), Worm.Mytob.H-3 ( ClamAV), W32/Mytob.AO.worm ( Panda), Win32/Mytob.AG ( Eset)
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.
Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx) и Microsoft Windows DCOM RPС (MS03-026) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx).
Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем "taskgmr32.exe":
%System%\taskgmr32.exe
Также червь создает свои копии в корне диска C:\ со следующими именами:
C:\funny_pic.scr C:\my_photo2005.scr C:\see_this!!.scr
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] [HKLM\Software\Microsoft\OLE] "WINRUN" = "taskgmr32.exe"
Также в корне диска C:\ червь создает файл с именем "hellmsn.exe" (около 6 КБ), который детектируется Антивирусом Касперского, как Net-Worm.Win32.Mytob.f.
Червь создает уникальный идентификатор "H-E-L-L-B-O-T" для определения своего присутствия в системе.
Распространение через интернет
Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или DCOM RPС, запускает на удаленной машине свой код.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb asp dbx htm php pl sht tbb wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
.edu .gov .mil accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя один из следующих вариантов:
adam alex andrew anna bill bob brenda brent brian britney bush claudia dan dave david debby fred george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda lolita madmax maria mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom
Тема письма:
Выбирается произвольным образом из списка:
<пустое поле> Error Good day Hello Mail Delivery System Mail Transaction Failed read it immediately Server Report Status thanks!
Текст письма:
Выбирается произвольным образом из списка:
Mail transaction failed. Partial message is available. The original message was included as an attachments. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Here are your banks documents.
Имя файла-вложения:
Выбирается произвольным образом из списка:
body data doc document file message readme test text
Вложения могут иметь одно расширение или двойное расширение, выбранное из списка:
bat cmd com doc exe htm tmp txt zip
Удаленное администрирование
Net-Worm.Win32.Mytob.t открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com
Где кванты и ИИ становятся искусством?
На перекрестке науки и фантазии — наш канал