Net-Worm.Win32.Mytob.ch

Jest to robak sieciowy infekuj膮cy komputery dzia艂aj膮ce pod kontrol膮 system贸w Windows 2000. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 32 KB (kompresja UPack, rozmiar po rozpakowaniu - oko艂o 240 KB). Robak rozprzestrzenia si臋 za po艣rednictwem luki w us艂udze Plug and Play system贸w Windows (wi臋cej informacji na temat tej luki zawiera biuletyn MS05-039). Szkodnik mo偶e funkcjonowa膰 w systemach innych ni偶 Windows 2000, jednak nie mo偶e ich infekowa膰 za po艣rednictwem luki. Robak wysy艂a tak偶e w艂asne kopie w zainfekowanych wiadomo艣ciach e-mail. Dodatkowo, szkodnik wyposa偶ony jest w backdoora, kt贸ry mo偶e otrzymywa膰 polecenia poprzez kana艂y IRC.

Instalacja

Po uruchomieniu robak kopiuje si臋 do foldera WindowsSystem z nazw膮 per.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"WINDOWS SYSTEM" = "per.exe"

Robak blokuje us艂ug臋 Shared Access poprzez modyfikacj臋 klucza:

[HKLMSystemCurrentControlSetServicesSharedAccess]
"Start" = "4"

W celu oznaczenia zainfekowanego systemu szkodnik tworzy unikatowy identyfikator:

B-O-T-Z-O-R

Rozprzestrzenianie - sieci

Robak uruchamia serwer FTP na porcie TCP 33333 zainfekowanego komputera. Nast臋pnie losuje adres IP i wysy艂a 偶膮danie do portu TCP 445 zdalnego komputera. Je偶eli atakowany komputer odpowie robak otwiera jego port TCP 8888 korzystaj膮c z luki w us艂udze Plug and Play, umieszcza w systemie i uruchamia w艂asn膮 kopi臋 o nazwie haha.exe lub lol.exe.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

adbh 
aspd 
cgil 
dbxn 
htmb 
html 
jspl 
phpq 
pl 
shtl 
tbbg 
txt
wab 
xmls

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

.gov 
.mil 
abuse
accoun
acketst 
admin
administrator
anyone 
arin. 
avp
berkeley
borlan 
bsd 
bsd 
bugs 
ca 
certific 
contact
contact 
example 
feste 
fido 
foo. 
fsf. 
gnu 
gold-certs 
google 
google 
gov. 
help 
hotmail 
iana 
ibm.com 
icrosof
icrosoft
ietf 
info 
inpris 
isc.o 
isi.e 
kernel 
linux 
linux 
listserv 
math 
me 
mit.e 
mozilla 
msn. 
mydomai 
no 
nobody 
nodomai 
noone 
not 
nothing 
ntivi 
page
panda 
pgp 
postmaster 
privacy 
rating 
rfc-ed 
ripe. 
root
ruslis 
samples 
secur
secur 
security
sendmail 
service 
site 
soft 
somebody 
someone 
sopho 
spam
spm
submit 
support
syma
tanford.e 
the.bat 
unix 
unix 
usenet 
utgers.ed 
webmaster
webmaster 
www
you 
your

W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Nazwa nadawcy (wybierana z poni偶szych mo偶liwo艣ci):
    adam 
    alex 
    andrew 
    anna 
    barbara 
    bill 
    bob 
    bob 
    brenda 
    brent 
    brian 
    claudia 
    contact 
    dan 
    dave 
    david 
    debby 
    erik 
    frank 
    fred 
    george 
    helen 
    jack 
    james 
    jane 
    jerry 
    jim 
    jimmy 
    joe 
    john
    jose 
    josh 
    julie 
    kevin 
    leo 
    linda 
    maria 
    mary 
    matt 
    michael 
    michael 
    mike 
    paul 
    peter 
    ray 
    robert 
    sales 
    sam 
    sandra
    serg 
    smith 
    stan 
    steve 
    ted 
    tom
    
  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    **Warning** 
    Confirmed... 
    Hello 
    Important!
    Warning!!
    
  • Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
    0K here is it!
    hey!! 
    looooool 
    That's your photo!!? 
    We found a photo of you in ... 
    
  • Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
    image 
    loool 
    photo 
    picture 
    sample 
    webcam_photo
    your_photo
    
  • Rozszerzenie za艂膮cznika (wybierane z poni偶szych mo偶liwo艣ci):
    bat
    cmd 
    exe 
    pif 
    scr
    

Zdalne zarz膮dzanie

Szkodnik otwiera losowy port TCP w celu nawi膮zania po艂膮czenia z kana艂ami IRC i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na przej臋cie kontroli oraz na pobieranie plik贸w z Internetu i instalowanie ich na zainfekowanym komputerze, pobieranie informacji o zainfekowanym systemie itp.

Informacje dodatkowe

Robak modyfikuje plik %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 nast臋puj膮cych stron internetowych:

Botzor2 pnp+asn+mail spread. Greetz to good friend Coder. Based On HellBot3
f-secure,sophos ok wait bitchs!!!
n127.0.0.1      www.symantec.com
127.0.0.1       securityresponse.symantec.com
127.0.0.1       symantec.com
127.0.0.1       www.sophos.com
127.0.0.1       sophos.com
127.0.0.1       www.mcafee.com
127.0.0.1       mcafee.com
127.0.0.1       liveupdate.symantecliveupdate.com
127.0.0.1       www.viruslist.com
127.0.0.1       viruslist.com
127.0.0.1       viruslist.com
127.0.0.1       f-secure.com
127.0.0.1       www.f-secure.com
127.0.0.1       kaspersky.com
127.0.0.1       kaspersky-labs.com
127.0.0.1       www.avp.com
127.0.0.1       www.kaspersky.com
127.0.0.1       avp.com
127.0.0.1       www.networkassociates.com
127.0.0.1       networkassociates.com
127.0.0.1       www.ca.com
127.0.0.1       ca.com
127.0.0.1       mast.mcafee.com
127.0.0.1       my-etrust.com
127.0.0.1       www.my-etrust.com
127.0.0.1       download.mcafee.com
127.0.0.1       dispatch.mcafee.com
127.0.0.1       secure.nai.com
127.0.0.1       nai.com
127.0.0.1       www.nai.com
127.0.0.1       update.symantec.com
127.0.0.1       updates.symantec.com
127.0.0.1       us.mcafee.com
127.0.0.1       liveupdate.symantec.com
127.0.0.1       customer.symantec.com
127.0.0.1       rads.mcafee.com
127.0.0.1       trendmicro.com
127.0.0.1       pandasoftware.com
127.0.0.1       www.pandasoftware.com
127.0.0.1       www.trendmicro.com
127.0.0.1       www.grisoft.com
127.0.0.1       www.microsoft.com
127.0.0.1       microsoft.com
127.0.0.1       www.virustotal.com
127.0.0.1       virustotal.com
127.0.0.1       www.amazon.com
127.0.0.1       www.amazon.co.uk
127.0.0.1       www.amazon.ca
127.0.0.1       www.amazon.fr
127.0.0.1       www.paypal.com
127.0.0.1       paypal.com
127.0.0.1       moneybookers.com
127.0.0.1       www.moneybookers.com
127.0.0.1       www.ebay.com
127.0.0.1       ebay.com
W32/Mydoom.gen@MM (McAfee),   BackDoor.IRC.HellBot (Doctor Web),   W32/Mytob-Fam (Sophos),   Win32.Worm.Zotob.C (SOFTWIN),   Worm.Mytob.AS (ClamAV),   W32/Zotob.C.worm (Panda),   Win32/Mytob.IT (Eset)