Interested Article - Mytob (червь)

Червь Mytob компьютерный вирус , интернет-червь , обнаруженный в сети 26 февраля 2005 года.

Другие названия

Net-Worm.Win32.E77.a «Лаборатория Касперского»
W32/Mydoom.bg@MM McAfee
W32.Mytob@mm Symantec
Win32.HLLM.MyDoom.19 Doctor Web
W32/Mytob-A Sophos
Win32/Mydoom.BG@mm RAV
WORM_MYTOB.E Trend Micro
Worm/Zusha.A H+BEDV
W32/Mytob.B@mm FRISK
I-Worm/Mytob.A Grisoft
Win32.Worm.Mytob.A SOFTWIN
Worm.Mytob.A ClamAV
W32/Mytob.A.worm Panda
Win32/Mytob.A Eset

Существуют следующие модификации: .a, .be, .bi, .bk, .bt, .c, .cf, .ch, .dc, .h, .q, .r, .t, .u, .v, .w, .x, .y

Технические детали

Является приложением Windows ( PE EXE -файл), имеет размер около 43КБ (упакован FSG). Размер распакованного файла около 143КБ. Вирус распространяется, используя уязвимость в сервисе LSASS Microsoft Windows (MS04-011 ), а также через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь основан на исходных кодах Email-Worm.Win32.Mydoom, содержит в себе функцию бэкдора , принимающего команды по каналам IRC . Net-Worm.Win32.Mytob.a открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать и удалять их. Помимо этого, он блокирует доступ к ресурсам антивирусных разработчиков.

Инсталляция

После запуска червь копирует себя в системный каталог Windows под именем msnmsgr.exe:

%System%\msnmsgr.exe

Затем червь регистрирует этот файл в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]
"MSN"="msnmsgr.exe"

Распространение через LSASS-уязвимость

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.

Примечания

  1. . Дата обращения: 10 мая 2008. 2 января 2007 года.

См. также

Ссылки

  • (англ.)
  • (англ.)
  • (англ.)
  • [antivirus.about.com/od/virusdescriptions/a/mytob.htm Prevent the Mytob worm] (англ.)
  • (англ.)
Источник —

Same as Mytob (червь)