Net-Worm.Win32.Mytob.dam
Материал из Total Malware Info
Net-Worm.Win32.Mytob.dam Сетевой червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE-EXE файл). Имеет размер 258 048 байт. Червь распространяется, используя уязвимость в сервисе LSASS Microsoft Windows (MS04-011). Также червь распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Инсталляция
После запуска червь копирует себя в системный каталог Windows под именем msnmsgr.exe:
%System%\iexplorer.exe
Затем червь регистрирует этот файл в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] "WINTASK"="iexplorer.exe""
Распространение через LSASS-уязвимость
Червь получает список IP адресов компьютеров находящихся в сетевом окружении и производит на них атаку использующую переполнение буфера в сервисе LSASS. Для этого червь отсылает спецальный запрос на порт TCP 445, который создает переполнение буфера на удаленной машине и запускает специальный код-загрузчик, который используя программу ftp.exe скачивает с запущенного червем на случайном TCP порте FTP сервера расположенного на зараженной машины основной исполняемый файл червя и запускает его.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
wab pl adb tbb dbx asp php sht htm
При этом червем игнорируются адреса, содержащие следующие подстроки:
accoun certific listserv ntivi support icrosoft admin page the.bat gold-certs ca feste submit not help service privacy somebody no soft contact site rating bugs me you your someone anyone nothing nobody noone webmaster�postmaster samples info root be_loyal mozilla utgers.ed tanford.e pgp acketst secur isc.o isi.e ripe. arin. Sendmail rfc-ed ietf iana usenet fido linux kernel google ibm.com fsf. gnu mit.e bsd math unix berkeley foo. .mil gov. .gov ruslis nodomai mydomai example inpris borlan sopho panda icrosof syma avp abuse www fcnz spm .edu
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам, адрес которых формируется из адреса сервера взятого из списка адресов электронной почты и одного из следующих префиксов:
gate. ns. relay. mail1. mxs. mx1. smtp. mail. mx.
Характеристики зараженных писем
Имя отправителя включает в себя один из следующих вариантов:
lolita britney bush linda julie jimmy jerry helen debby claudia brenda anna madmax brent adam ted fred jack bill stan smith steve matt dave dan joe jane bob robert peter tom ray mary serg brian jim maria leo jose andrew sam george david kevin mike james michael alex john
Тема письма выбирается из списка:
Error hello hi Mail Delivery System Mail Transaction Failed Server Report Status Test
Текст письма выбирается из списка:
Mail transaction failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The original message was included as an attachment. Here are your banks documents.
Имя файла вложения выбирается из списка:
body data doc document file message readme test text
Вложения могут иметь одно из расширений:
bat cmd doc exe htm pif scr tmp txt zip
Деструктивная активность
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 www.trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 trendmicro.com 127.0.0.1 rads.mcafee.com 127.0.0.1 customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 secure.nai.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 mast.mcafee.com 127.0.0.1 ca.com 127.0.0.1 www.ca.com 127.0.0.1 networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 kaspersky.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com
Открывает на зараженной машине TCP порт 6667 на котором запускает IRC сервер и ждет входящих соединений. Злоумышленник может подключиться к запущенному IRC серверу, войти в канал с именем “#hellbot” и посылая управляющие команды пользователю с ником “.r0b0t.” получить полный доступ к компьютеру: загружать любые файлы, запускать и удалять их.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файл:
- Восстановить оригинальное содержимое файла:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] "WINTASK"="iexplorer.exe""
%System%\iexplorer.exe
%System%\drivers\etc\hosts
