Net-Worm.Win32. Mytob.bt

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл, размером 32804 байта. Упакован Upack. Размер распакованного файла — около 274 КБ. Написан на языке Visual C++.

Вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем m0use.exe:

%System%\m0use.exe

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "Userinterface Report3r"="M0USE.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующую запись в системном реестре:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
 "Shell"="Explorer.exe M0USE.exe"

Также червь изменяет следующие записи системного реестра с целью блокировки сервиса Shared Access:

[HKLM\System\CurrentControlSet\Services\SharedAccess]
[HKLM\System\ControlSet001\Services\SharedAccess]
 "Start"="4"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
cgi
dbx
htm
html
jsp
php
pl
sht
tbb
wab
xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

    * adam
    * alex
    * andrew
    * anna
    * bill
    * bob
    * bob
    * brenda
    * brent
    * brian
    * claudia
    * dan
    * dave
    * david
    * debby
    * frank
    * fred
    * george
    * helen
    * jack
    * james
    * jane
    * jerry
    * jim
    * jimmy
    * joe
    * john
    * jose
    * josh
    * julie
    * kevin
    * leo
    * linda
    * maria
    * mary
    * matt
    * michael
    * mike
    * paul
    * peter
    * ray
    * robert
    * sales
    * sam
    * sandra
    * serg
    * smith
    * stan
    * steve
    * ted
    * tom

Тема письма:

Выбирается из списка:

    * <набор случайных символов>
    * *DETECTED* Online User Violation
    * Email Account Suspension
    * Important Notification
    * Members Support
    * Notice of account limitation
    * Security measures
    * Warning Message: Your services near to be closed.
    * You have successfully updated your password
    * Your Account is Suspended
    * Your Account is Suspended For Security Reasons
    * Your new account password is approved
    * Your password has been successfully updated
    * Your password has been updated

Текст письма:

Зараженные письма не имеют текста письма.

Имя файла-вложения:

Выбирается из списка:


    * <набор случайных символов>
    * accepted-password
    * account-details
    * account-info
    * account-password
    * account-report
    * approved-password
    * document
    * email-details
    * email-password
    * important-details
    * new-password
    * password
    * readme
    * updated-password

Вложения могут иметь одно из расширений:

    * bat
    * cmd
    * exe
    * pif
    * scr

Также во вложении может быть zip-файл, содержащий копию червя с двойным расширением. При этом первым может быть одно из следующих расширений:

    * doc
    * htm
    * txt

А вторым может быть одно из расширений:

    * exe
    * pif
    * scr

Удаленное администрирование

Червь открывает на зараженной машине случайный TCP-порт для соединения с IRC-сервером name.turkintikamtugayi.com для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com