Net-Worm.Win32.Mytob.ch
Po uruchomieniu robak kopiuje si臋 do foldera WindowsSystem z nazw膮 per.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"WINDOWS SYSTEM" = "per.exe"
Robak blokuje us艂ug臋 Shared Access poprzez modyfikacj臋 klucza:
"Start" = "4"
W celu oznaczenia zainfekowanego systemu szkodnik tworzy unikatowy identyfikator:
B-O-T-Z-O-R
Robak uruchamia serwer FTP na porcie TCP 33333 zainfekowanego komputera. Nast臋pnie losuje adres IP i wysy艂a 偶膮danie do portu TCP 445 zdalnego komputera. Je偶eli atakowany komputer odpowie robak otwiera jego port TCP 8888 korzystaj膮c z luki w us艂udze Plug and Play, umieszcza w systemie i uruchamia w艂asn膮 kopi臋 o nazwie haha.exe lub lol.exe.
Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:
adbh aspd cgil dbxn htmb html jspl phpq pl shtl tbbg txt wab xmls
Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:
.gov .mil abuse accoun acketst admin administrator anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact contact example feste fido foo. fsf. gnu gold-certs google google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur secur security sendmail service site soft somebody someone sopho spam spm submit support syma tanford.e the.bat unix unix usenet utgers.ed webmaster webmaster www you your
W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.
- Nazwa nadawcy (wybierana z poni偶szych mo偶liwo艣ci):
adam alex andrew anna barbara bill bob bob brenda brent brian claudia contact dan dave david debby erik frank fred george helen jack james jane jerry jim jimmy joe john jose josh julie kevin leo linda maria mary matt michael michael mike paul peter ray robert sales sam sandra serg smith stan steve ted tom
- Temat (wybierany z poni偶szych mo偶liwo艣ci):
**Warning** Confirmed... Hello Important! Warning!!
- Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
0K here is it! hey!! looooool That's your photo!!? We found a photo of you in ...
- Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
image loool photo picture sample webcam_photo your_photo
- Rozszerzenie za艂膮cznika (wybierane z poni偶szych mo偶liwo艣ci):
bat cmd exe pif scr
Szkodnik otwiera losowy port TCP w celu nawi膮zania po艂膮czenia z kana艂ami IRC i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na przej臋cie kontroli oraz na pobieranie plik贸w z Internetu i instalowanie ich na zainfekowanym komputerze, pobieranie informacji o zainfekowanym systemie itp.
Robak modyfikuje plik %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 nast臋puj膮cych stron internetowych:
Botzor2 pnp+asn+mail spread. Greetz to good friend Coder. Based On HellBot3 f-secure,sophos ok wait bitchs!!! n127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com