Security Lab

Net-Worm.Win32. Mytob.bt

Net-Worm.Win32. Mytob.bt

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл, размером 32804 байта. Упакован Upack. Размер распакованного файла — около 274 КБ. Написан на языке Visual C++.

Вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем m0use.exe:

%System%\m0use.exe

Затем червь регистрирует себя в ключах автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "Userinterface Report3r"="M0USE.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующую запись в системном реестре:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
   "Shell"="Explorer.exe M0USE.exe"
  

Также червь изменяет следующие записи системного реестра с целью блокировки сервиса Shared Access:

  [HKLM\System\CurrentControlSet\Services\SharedAccess]
  [HKLM\System\ControlSet001\Services\SharedAccess]
   "Start"="4"
  

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

  adb
  asp
  cgi
  dbx
  htm
  html
  jsp
  php
  pl
  sht
  tbb
  wab
  xml
  

При этом червем игнорируются адреса, содержащие следующие подстроки:

  .edu
  .gov
  .mil
  abuse
  accoun
  acketst
  admin
  anyone
  arin.
  avp
  berkeley
  borlan
  bsd
  bugs
  ca
  certific
  contact
  example
  feste
  fido
  foo.
  fsf.
  gnu
  gold-certs
  google
  gov.
  help
  hotmail
  iana
  ibm.com
  icrosof
  icrosoft
  ietf
  info
  inpris
  isc.o
  isi.e
  kernel
  linux
  listserv
  math
  me
  mit.e
  mozilla
  msn.
  mydomai
  no
  nobody
  nodomai
  noone
  not
  nothing
  ntivi
  page
  panda
  pgp
  postmaster
  privacy
  rating
  rfc-ed
  ripe.
  root
  ruslis
  samples
  secur
  sendmail
  service
  site
  soft
  somebody
  someone
  sopho
  spm
  submit
  support
  syma
  tanford.e
  the.bat
  unix
  usenet
  utgers.ed
  webmaster
  www
  you
  your
  

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

      * adam
      * alex
      * andrew
      * anna
      * bill
      * bob
      * bob
      * brenda
      * brent
      * brian
      * claudia
      * dan
      * dave
      * david
      * debby
      * frank
      * fred
      * george
      * helen
      * jack
      * james
      * jane
      * jerry
      * jim
      * jimmy
      * joe
      * john
      * jose
      * josh
      * julie
      * kevin
      * leo
      * linda
      * maria
      * mary
      * matt
      * michael
      * mike
      * paul
      * peter
      * ray
      * robert
      * sales
      * sam
      * sandra
      * serg
      * smith
      * stan
      * steve
      * ted
      * tom
  

Тема письма:

Выбирается из списка:

      * <набор случайных символов>
      * *DETECTED* Online User Violation
      * Email Account Suspension
      * Important Notification
      * Members Support
      * Notice of account limitation
      * Security measures
      * Warning Message: Your services near to be closed.
      * You have successfully updated your password
      * Your Account is Suspended
      * Your Account is Suspended For Security Reasons
      * Your new account password is approved
      * Your password has been successfully updated
      * Your password has been updated
  

Текст письма:

Зараженные письма не имеют текста письма.

Имя файла-вложения:

Выбирается из списка:

  
      * <набор случайных символов>
      * accepted-password
      * account-details
      * account-info
      * account-password
      * account-report
      * approved-password
      * document
      * email-details
      * email-password
      * important-details
      * new-password
      * password
      * readme
      * updated-password
  

Вложения могут иметь одно из расширений:

      * bat
      * cmd
      * exe
      * pif
      * scr
  

Также во вложении может быть zip-файл, содержащий копию червя с двойным расширением. При этом первым может быть одно из следующих расширений:

      * doc
      * htm
      * txt
  

А вторым может быть одно из расширений:

      * exe
      * pif
      * scr
  

Удаленное администрирование

Червь открывает на зараженной машине случайный TCP-порт для соединения с IRC-сервером name.turkintikamtugayi.com для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

  127.0.0.1 www.symantec.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 symantec.com
  127.0.0.1 www.sophos.com
  127.0.0.1 sophos.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 www.viruslist.com
  127.0.0.1 viruslist.com
  127.0.0.1 viruslist.com
  127.0.0.1 f-secure.com
  127.0.0.1 www.f-secure.com
  127.0.0.1 kaspersky.com
  127.0.0.1 kaspersky-labs.com
  127.0.0.1 www.avp.com
  127.0.0.1 www.kaspersky.com
  127.0.0.1 avp.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 networkassociates.com
  127.0.0.1 www.ca.com
  127.0.0.1 ca.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 my-etrust.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 secure.nai.com
  127.0.0.1 nai.com
  127.0.0.1 www.nai.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 customer.symantec.com
  127.0.0.1 rads.mcafee.com
  127.0.0.1 trendmicro.com
  127.0.0.1 pandasoftware.com
  127.0.0.1 www.pandasoftware.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.grisoft.com
  127.0.0.1 www.microsoft.com
  127.0.0.1 microsoft.com
  127.0.0.1 www.virustotal.com
  127.0.0.1 virustotal.com
  127.0.0.1 www.amazon.com
  127.0.0.1 www.amazon.co.uk
  127.0.0.1 www.amazon.ca
  127.0.0.1 www.amazon.fr
  127.0.0.1 www.paypal.com
  127.0.0.1 paypal.com
  127.0.0.1 moneybookers.com
  127.0.0.1 www.moneybookers.com
  127.0.0.1 www.ebay.com
  127.0.0.1 ebay.com

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!