Net-Worm.Win32. Mytob.bt

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл, размером 32804 байта. Упакован Upack. Размер распакованного файла — около 274 КБ. Написан на языке Visual C++.

Вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем m0use.exe:

%System%\m0use.exe

Затем червь регистрирует себя в ключах автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "Userinterface Report3r"="M0USE.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующую запись в системном реестре:

 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  "Shell"="Explorer.exe M0USE.exe"
 

Также червь изменяет следующие записи системного реестра с целью блокировки сервиса Shared Access:

 [HKLM\System\CurrentControlSet\Services\SharedAccess]
 [HKLM\System\ControlSet001\Services\SharedAccess]
  "Start"="4"
 

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

 adb
 asp
 cgi
 dbx
 htm
 html
 jsp
 php
 pl
 sht
 tbb
 wab
 xml
 

При этом червем игнорируются адреса, содержащие следующие подстроки:

 .edu
 .gov
 .mil
 abuse
 accoun
 acketst
 admin
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bugs
 ca
 certific
 contact
 example
 feste
 fido
 foo.
 fsf.
 gnu
 gold-certs
 google
 gov.
 help
 hotmail
 iana
 ibm.com
 icrosof
 icrosoft
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 listserv
 math
 me
 mit.e
 mozilla
 msn.
 mydomai
 no
 nobody
 nodomai
 noone
 not
 nothing
 ntivi
 page
 panda
 pgp
 postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 spm
 submit
 support
 syma
 tanford.e
 the.bat
 unix
 usenet
 utgers.ed
 webmaster
 www
 you
 your
 

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

     * adam
     * alex
     * andrew
     * anna
     * bill
     * bob
     * bob
     * brenda
     * brent
     * brian
     * claudia
     * dan
     * dave
     * david
     * debby
     * frank
     * fred
     * george
     * helen
     * jack
     * james
     * jane
     * jerry
     * jim
     * jimmy
     * joe
     * john
     * jose
     * josh
     * julie
     * kevin
     * leo
     * linda
     * maria
     * mary
     * matt
     * michael
     * mike
     * paul
     * peter
     * ray
     * robert
     * sales
     * sam
     * sandra
     * serg
     * smith
     * stan
     * steve
     * ted
     * tom
 

Тема письма:

Выбирается из списка:

     * <набор случайных символов>
     * *DETECTED* Online User Violation
     * Email Account Suspension
     * Important Notification
     * Members Support
     * Notice of account limitation
     * Security measures
     * Warning Message: Your services near to be closed.
     * You have successfully updated your password
     * Your Account is Suspended
     * Your Account is Suspended For Security Reasons
     * Your new account password is approved
     * Your password has been successfully updated
     * Your password has been updated
 

Текст письма:

Зараженные письма не имеют текста письма.

Имя файла-вложения:

Выбирается из списка:

 
     * <набор случайных символов>
     * accepted-password
     * account-details
     * account-info
     * account-password
     * account-report
     * approved-password
     * document
     * email-details
     * email-password
     * important-details
     * new-password
     * password
     * readme
     * updated-password
 

Вложения могут иметь одно из расширений:

     * bat
     * cmd
     * exe
     * pif
     * scr
 

Также во вложении может быть zip-файл, содержащий копию червя с двойным расширением. При этом первым может быть одно из следующих расширений:

     * doc
     * htm
     * txt
 

А вторым может быть одно из расширений:

     * exe
     * pif
     * scr
 

Удаленное администрирование

Червь открывает на зараженной машине случайный TCP-порт для соединения с IRC-сервером name.turkintikamtugayi.com для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 127.0.0.1 www.symantec.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 symantec.com
 127.0.0.1 www.sophos.com
 127.0.0.1 sophos.com
 127.0.0.1 www.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 liveupdate.symantecliveupdate.com
 127.0.0.1 www.viruslist.com
 127.0.0.1 viruslist.com
 127.0.0.1 viruslist.com
 127.0.0.1 f-secure.com
 127.0.0.1 www.f-secure.com
 127.0.0.1 kaspersky.com
 127.0.0.1 kaspersky-labs.com
 127.0.0.1 www.avp.com
 127.0.0.1 www.kaspersky.com
 127.0.0.1 avp.com
 127.0.0.1 www.networkassociates.com
 127.0.0.1 networkassociates.com
 127.0.0.1 www.ca.com
 127.0.0.1 ca.com
 127.0.0.1 mast.mcafee.com
 127.0.0.1 my-etrust.com
 127.0.0.1 www.my-etrust.com
 127.0.0.1 download.mcafee.com
 127.0.0.1 dispatch.mcafee.com
 127.0.0.1 secure.nai.com
 127.0.0.1 nai.com
 127.0.0.1 www.nai.com
 127.0.0.1 update.symantec.com
 127.0.0.1 updates.symantec.com
 127.0.0.1 us.mcafee.com
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 customer.symantec.com
 127.0.0.1 rads.mcafee.com
 127.0.0.1 trendmicro.com
 127.0.0.1 pandasoftware.com
 127.0.0.1 www.pandasoftware.com
 127.0.0.1 www.trendmicro.com
 127.0.0.1 www.grisoft.com
 127.0.0.1 www.microsoft.com
 127.0.0.1 microsoft.com
 127.0.0.1 www.virustotal.com
 127.0.0.1 virustotal.com
 127.0.0.1 www.amazon.com
 127.0.0.1 www.amazon.co.uk
 127.0.0.1 www.amazon.ca
 127.0.0.1 www.amazon.fr
 127.0.0.1 www.paypal.com
 127.0.0.1 paypal.com
 127.0.0.1 moneybookers.com
 127.0.0.1 www.moneybookers.com
 127.0.0.1 www.ebay.com
 127.0.0.1 ebay.com