Net-Worm.Win32.Mytob.v

Jest to robak sieciowy infekuj膮cy komputery dzia艂aj膮ce pod kontrol膮 system贸w Windows. Powsta艂 przy u偶yciu 艣rodowiska programistycznego Visual C++ i ma posta膰 pliku PE EXE o rozmiarze oko艂o 55 KB lub wi臋cej (po rozpakowaniu - 290 KB lub wi臋cej). Szkodnik rozprzestrzenia si臋 poprzez luk臋 LSASS (Microsoft Security Bulletin MS04-011) oraz jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. W kodzie robaka zapisany jest backdoor odbieraj膮cy polecenia poprzez kana艂y IRC.

Instalacja

Po uruchomieniu robak kopiuje si臋 do foldera WindowsSystem z nazw膮 taskgmgr.exe oraz do foldera g艂贸wnego dysku C: z nazwami:

C:funny_pic.scr
C:my_photo2005.scr
C:see_this!!.scr

Robak tworzy nast臋puj膮ce wpisy w rejestrze:

[HKCUSoftwareMicrosoftOLE]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSYSTEMCurrentControlSetControlLsa]
[HKLMSoftwareMicrosoftOLE]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKLMSYSTEMCurrentControlSetControlLsa]
"WINMGR"="taskgmgr.exe"

Dodatkowo szkodnik tworzy w folderze g艂贸wnym dysku C: plik o nazwie hellmsn.exe (rozmiar oko艂o 6 KB). Plik ten jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Net-Worm.Win32.Mytob.f.

W celu oznaczenia zainfekowanego systemu robak tworzy unikatowy identyfikator:

H-E-L-L-B-O-T

Rozprzestrzenianie - Internet

Robak losuje adres IP potencjalnej ofiary i sprawdza czy wybrany komputer posiada luk臋 LSASS. Je偶eli luka nie zosta艂a za艂atana szkodnik uruchamia si臋 na atakowanym komputerze.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

adb
asp
dbx
htm
php
pl
sht
tbb
wab

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Nazwa nadawcy (wybierana z poni偶szych mo偶liwo艣ci):
    adam 
    alex 
    andrew 
    anna 
    bill 
    bob 
    brenda 
    brent 
    brian 
    britney 
    bush 
    claudia 
    dan 
    dave 
    david 
    debby 
    fred 
    george 
    helen 
    jack 
    james 
    jane 
    jerry 
    jim 
    jimmy 
    joe 
    john 
    jose 
    julie 
    kevin 
    leo 
    linda 
    lolita 
    madmax 
    maria 
    mary 
    matt 
    michael 
    mike 
    peter 
    ray 
    robert 
    sam 
    sandra 
    serg 
    smith 
    stan 
    steve 
    ted 
    tom
    
  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    Error 
    Good day 
    Hello 
    Mail Delivery System 
    Mail Transaction Failed 
    Server Report 
    Status
    
  • Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
    Here are your banks documents. 
    
    Mail transaction failed. 
    Partial message is available. 
    
    The message cannot be represented in 7-bit 
    ASCII encoding and has been sent as a binary attachment. 
    
    The message contains Unicode characters and 
    has been sent as a binary attachment. 
    
    The original message was included as an attachments.
    
  • Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
    body 
    data 
    doc 
    document 
    file 
    message 
    readme 
    test 
    text
    
  • Rozszerzenie za艂膮cznika (wybierane z poni偶szych mo偶liwo艣ci):
    bat 
    cmd 
    doc 
    exe 
    htm 
    pif 
    scr 
    tmp 
    txt 
    zip
    

Zdalne zarz膮dzanie

Szkodnik otwiera losowy port TCP w celu nawi膮zania po艂膮czenia z serwerem IRC h3ll.m1rr0r.net lub h3llz.m1rr0r i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na przej臋cie pe艂nej kontroli nad zainfekowanym komputerem, w艂膮cznie z mo偶liwo艣ci膮 uzyskiwania dost臋pu do danych, pobierania plik贸w z Internetu i instalowania ich na zainfekowanym komputerze.

Funkcje dodatkowe

Robak modyfikuje plik %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 nast臋puj膮cych stron internetowych:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
W32/Mydoom.gen@MM (McAfee),   W32.Mytob.AN@mm (Symantec),   Win32.HLLM.MyDoom.32 (Doctor Web),   W32/Mytob-AA (Sophos),   Win32/Mytob.X@mm (RAV),   WORM_MYDOOM.GEN (Trend Micro),   Worm/Mytob.BF (H+BEDV),   W32/Mytob.AM@mm (FRISK),   I-Worm/Mytob.AC (Grisoft),   Win32.Worm.Mytob.V (SOFTWIN),   Worm.Mytob.H-3 (ClamAV),   W32/Mytob.AE.worm (Panda),   Win32/Mytob.AI (Eset)