Net-Worm.Win32.Mytob.t

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.

Net-Worm.Win32.Mytob.t («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.AH@mm (Symantec), Win32.HLLM.MyDoom.22 (Doctor Web), W32/Mytob-E (Sophos), Win32/Mytob.AB@mm (RAV), WORM_MYDOOM.GEN (Trend Micro), Worm/Zusha.A (H+BEDV), W32/Mytob.AX@mm (FRISK), I-Worm/Mytob.AM (Grisoft), Win32.Worm.Mytob.1.Gen (SOFTWIN), Worm.Mytob.H-3 (ClamAV), W32/Mytob.AO.worm (Panda), Win32/Mytob.AG (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде - примерно 47 КБ и более, размер в распакованном виде может быть от 150 КБ до 260 КБ.

Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx) и Microsoft Windows DCOM RPС (MS03-026) (подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "taskgmr32.exe":

%System%\taskgmr32.exe

Также червь создает свои копии в корне диска C:\ со следующими именами:

C:\funny_pic.scr 
C:\my_photo2005.scr 
C:\see_this!!.scr

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]
[HKLM\Software\Microsoft\OLE]
"WINRUN" = "taskgmr32.exe"

Также в корне диска C:\ червь создает файл с именем "hellmsn.exe" (около 6 КБ), который детектируется Антивирусом Касперского, как Net-Worm.Win32.Mytob.f.

Червь создает уникальный идентификатор "H-E-L-L-B-O-T" для определения своего присутствия в системе.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или DCOM RPС, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb 
asp 
dbx 
htm
php
pl 
sht 
tbb 
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

adam 
alex
andrew 
anna 
bill 
bob 
brenda 
brent 
brian 
britney
bush
claudia 
dan 
dave 
david 
debby 
fred 
george 
helen 
jack 
james 
jane 
jerry 
jim 
jimmy 
joe 
john 
jose 
julie 
kevin 
leo 
linda 
lolita
madmax
maria 
mary 
matt 
michael 
mike 
peter 
ray 
robert 
sam 
sandra
serg 
smith 
stan 
steve 
ted 
tom

Тема письма:

Выбирается произвольным образом из списка:

<пустое поле>
Error
Good day
Hello
Mail Delivery System
Mail Transaction Failed
read it immediately
Server Report
Status
thanks!

Текст письма:

Выбирается произвольным образом из списка:

Mail transaction failed. Partial message is available. 
The original message was included as an attachments. 
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment. 
Here are your banks documents.

Имя файла-вложения:

Выбирается произвольным образом из списка:

body
data
doc
document
file
message
readme
test
text

Вложения могут иметь одно расширение или двойное расширение, выбранное из списка:

bat
cmd
com
doc
exe
htm
tmp
txt
zip

Удаленное администрирование

Net-Worm.Win32.Mytob.t открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.1  www.symantec.com
127.0.0.1       securityresponse.symantec.com
127.0.0.1       symantec.com
127.0.0.1       www.sophos.com
127.0.0.1       sophos.com
127.0.0.1       www.mcafee.com
127.0.0.1       mcafee.com
127.0.0.1       liveupdate.symantecliveupdate.com
127.0.0.1       www.viruslist.com
127.0.0.1       viruslist.com
127.0.0.1       viruslist.com
127.0.0.1       f-secure.com
127.0.0.1       www.f-secure.com
127.0.0.1       kaspersky.com
127.0.0.1       www.avp.com
127.0.0.1       www.kaspersky.com
127.0.0.1       avp.com
127.0.0.1       www.networkassociates.com
127.0.0.1       networkassociates.com
127.0.0.1       www.ca.com
127.0.0.1       ca.com
127.0.0.1       mast.mcafee.com
127.0.0.1       my-etrust.com
127.0.0.1       www.my-etrust.com
127.0.0.1       download.mcafee.com
127.0.0.1       dispatch.mcafee.com
127.0.0.1       secure.nai.com
127.0.0.1       nai.com
127.0.0.1       www.nai.com
127.0.0.1       update.symantec.com
127.0.0.1       updates.symantec.com
127.0.0.1       us.mcafee.com
127.0.0.1       liveupdate.symantec.com
127.0.0.1       customer.symantec.com
127.0.0.1       rads.mcafee.com
127.0.0.1       trendmicro.com
127.0.0.1       www.microsoft.com
127.0.0.1       www.trendmicro.com