Net-Worm.Win32.Mytob.v
Po uruchomieniu robak kopiuje si臋 do foldera WindowsSystem z nazw膮 taskgmgr.exe oraz do foldera g艂贸wnego dysku C: z nazwami:
C:funny_pic.scr C:my_photo2005.scr C:see_this!!.scr
Robak tworzy nast臋puj膮ce wpisy w rejestrze:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSYSTEMCurrentControlSetControlLsa]
[HKLMSoftwareMicrosoftOLE]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKLMSYSTEMCurrentControlSetControlLsa]
"WINMGR"="taskgmgr.exe"
Dodatkowo szkodnik tworzy w folderze g艂贸wnym dysku C: plik o nazwie hellmsn.exe (rozmiar oko艂o 6 KB). Plik ten jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
W celu oznaczenia zainfekowanego systemu robak tworzy unikatowy identyfikator:
H-E-L-L-B-O-T
Robak losuje adres IP potencjalnej ofiary i sprawdza czy wybrany komputer posiada luk臋 LSASS. Je偶eli luka nie zosta艂a za艂atana szkodnik uruchamia si臋 na atakowanym komputerze.
Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:
adb asp dbx htm php pl sht tbb wab
Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:
.edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example fcnz feste fido foo. fsf. gnu gold-certs google gov. help iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spm submit support syma tanford.e the.bat unix usenet utgers.ed webmaster www you your
W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.
- Nazwa nadawcy (wybierana z poni偶szych mo偶liwo艣ci):
adam alex andrew anna bill bob brenda brent brian britney bush claudia dan dave david debby fred george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda lolita madmax maria mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom
- Temat (wybierany z poni偶szych mo偶liwo艣ci):
Error Good day Hello Mail Delivery System Mail Transaction Failed Server Report Status
- Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
Here are your banks documents. Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. The original message was included as an attachments.
- Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
body data doc document file message readme test text
- Rozszerzenie za艂膮cznika (wybierane z poni偶szych mo偶liwo艣ci):
bat cmd doc exe htm pif scr tmp txt zip
Szkodnik otwiera losowy port TCP w celu nawi膮zania po艂膮czenia z serwerem IRC h3ll.m1rr0r.net lub h3llz.m1rr0r i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na przej臋cie pe艂nej kontroli nad zainfekowanym komputerem, w艂膮cznie z mo偶liwo艣ci膮 uzyskiwania dost臋pu do danych, pobierania plik贸w z Internetu i instalowania ich na zainfekowanym komputerze.
Robak modyfikuje plik %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 nast臋puj膮cych stron internetowych:
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com