Net-Worm.Win32.Mytob.t

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.

Net-Worm.Win32.Mytob.t ( «Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM ( McAfee), W32.Mytob.AH@mm ( Symantec), Win32.HLLM.MyDoom.22 ( Doctor Web), W32/Mytob-E ( Sophos), Win32/Mytob.AB@mm ( RAV), WORM_MYDOOM.GEN ( Trend Micro), Worm/Zusha.A ( H+BEDV), W32/Mytob.AX@mm ( FRISK), I-Worm/Mytob.AM ( Grisoft), Win32.Worm.Mytob.1.Gen ( SOFTWIN), Worm.Mytob.H-3 ( ClamAV), W32/Mytob.AO.worm ( Panda), Win32/Mytob.AG ( Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.

Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx) и Microsoft Windows DCOM RPС (MS03-026) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "taskgmr32.exe":

%System%\taskgmr32.exe

Также червь создает свои копии в корне диска C:\ со следующими именами:

C:\funny_pic.scr 
 C:\my_photo2005.scr 
 C:\see_this!!.scr

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
 [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
 [HKCU\Software\Microsoft\OLE]
 [HKLM\Software\Microsoft\OLE]
 "WINRUN" = "taskgmr32.exe"

Также в корне диска C:\ червь создает файл с именем "hellmsn.exe" (около 6 КБ), который детектируется Антивирусом Касперского, как Net-Worm.Win32.Mytob.f.

Червь создает уникальный идентификатор "H-E-L-L-B-O-T" для определения своего присутствия в системе.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или DCOM RPС, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb 
 asp 
 dbx 
 htm
 php
 pl 
 sht 
 tbb 
 wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
 .gov
 .mil
 accoun
 acketst
 admin
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bugs
 ca
 certific
 contact
 example
 feste
 fido
 foo.
 fsf.
 gnu
 gold-certs
 google
 gov.
 help
 iana
 ibm.com
 icrosof
 icrosoft
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 listserv
 math
 me
 mit.e
 mozilla
 mydomai
 no
 nobody
 nodomai
 noone
 not
 nothing
 ntivi
 page
 panda
 pgp
 postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 submit
 support
 syma
 tanford.e
 the.bat
 unix
 usenet
 utgers.ed
 webmaster
 you
 your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

adam 
 alex
 andrew 
 anna 
 bill 
 bob 
 brenda 
 brent 
 brian 
 britney
 bush
 claudia 
 dan 
 dave 
 david 
 debby 
 fred 
 george 
 helen 
 jack 
 james 
 jane 
 jerry 
 jim 
 jimmy 
 joe 
 john 
 jose 
 julie 
 kevin 
 leo 
 linda 
 lolita
 madmax
 maria 
 mary 
 matt 
 michael 
 mike 
 peter 
 ray 
 robert 
 sam 
 sandra
 serg 
 smith 
 stan 
 steve 
 ted 
 tom

Тема письма:

Выбирается произвольным образом из списка:

<пустое поле>
 Error
 Good day
 Hello
 Mail Delivery System
 Mail Transaction Failed
 read it immediately
 Server Report
 Status
 thanks!

Текст письма:

Выбирается произвольным образом из списка:

Mail transaction failed. Partial message is available. 
 The original message was included as an attachments. 
 The message contains Unicode characters and has been sent as a binary attachment.
 The message cannot be represented in 7-bit ASCII encoding and has been sent
 as a binary attachment. 
 Here are your banks documents.

Имя файла-вложения:

Выбирается произвольным образом из списка:

body
 data
 doc
 document
 file
 message
 readme
 test
 text

Вложения могут иметь одно расширение или двойное расширение, выбранное из списка:

bat
 cmd
 com
 doc
 exe
 htm
 tmp
 txt
 zip

Удаленное администрирование

Net-Worm.Win32.Mytob.t открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.1  www.symantec.com
 127.0.0.1       securityresponse.symantec.com
 127.0.0.1       symantec.com
 127.0.0.1       www.sophos.com
 127.0.0.1       sophos.com
 127.0.0.1       www.mcafee.com
 127.0.0.1       mcafee.com
 127.0.0.1       liveupdate.symantecliveupdate.com
 127.0.0.1       www.viruslist.com
 127.0.0.1       viruslist.com
 127.0.0.1       viruslist.com
 127.0.0.1       f-secure.com
 127.0.0.1       www.f-secure.com
 127.0.0.1       kaspersky.com
 127.0.0.1       www.avp.com
 127.0.0.1       www.kaspersky.com
 127.0.0.1       avp.com
 127.0.0.1       www.networkassociates.com
 127.0.0.1       networkassociates.com
 127.0.0.1       www.ca.com
 127.0.0.1       ca.com
 127.0.0.1       mast.mcafee.com
 127.0.0.1       my-etrust.com
 127.0.0.1       www.my-etrust.com
 127.0.0.1       download.mcafee.com
 127.0.0.1       dispatch.mcafee.com
 127.0.0.1       secure.nai.com
 127.0.0.1       nai.com
 127.0.0.1       www.nai.com
 127.0.0.1       update.symantec.com
 127.0.0.1       updates.symantec.com
 127.0.0.1       us.mcafee.com
 127.0.0.1       liveupdate.symantec.com
 127.0.0.1       customer.symantec.com
 127.0.0.1       rads.mcafee.com
 127.0.0.1       trendmicro.com
 127.0.0.1       www.microsoft.com
 127.0.0.1       www.trendmicro.com