Válassza az Oldal lehetőséget

Rendszerek védelmén gyengít az új Mytob féreg

Rendszerek védelmén gyengít az új Mytob féreg

A Symantec a Mytob féreg legújabb variánsát a terjedési sebesség szempontjából az egyik legveszélyesebb kategóriába sorolta.

A Mytob.IA elektronikus levelek útján nagyon gyors terjedésre képes. A féreg alacsonyabb szintűre állítja a Windows biztonsági beállításait, és leállítja a biztonsági szoftverekhez tartozó folyamatokat. Ezért a többi kártékony programmal szemben is védtelenné teszi a megfertőzött számítógépeket. Mindezek mellett a fertőzött rendszerekről elérhetetlenné teszi a biztonsági cégek weboldalait is.

A Mytob.IA féreg további ismert nevei: Net-Worm.Win32.Mytob.bi [Kaspersky Lab], W32/Mytob.gen@MM [McAfee], WORM_MYTOB.FH [Trend Micro].

Amikor a W32.Mytob.IA féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába netcog.exe néven.

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\
RunServices
kulcsaihoz hozzáadja a
“Windows Networks” = “netcog.exe” értéket.

3. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shared Access
bejegyzésében szereplő következő értéket:
“Start” = “4”

4. A Windows címjegyzékéből összegyűjti az email címeket. Ezek mellé előre meghatározott névlista alapján további email címeket is generál.

5. Az összegyűjtött illetve a generált email címekre a saját SMTP komponensének segítségével továbbküldi magát.

A fertőzött levelek tárgya lehet:
You have successfully updated your password
Your new account password is approved
Your password has been successfully updated
Your password has been updated.
Security measures
WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSED
YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS

A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
account-details
account-info
account-report
account-password
document
email-details
important-details
new-password
readme
password

A csatolt fájl kiterjesztése az alábbi listából kerül ki:
BAT
CMD
EXE
PIF
SCR
ZIP

6. Nyit egy hátsó kaput, és ezen keresztül várja a támadók parancsait, akik az alábbi műveleteket végezhetik el:
– fájlok lefuttatása
– fájlok letöltése
– a féreg verziójának lekérdezése
– a féreg leállítása, eltávolítása illetve frissítése

7. A hosts fájlhoz sorokat fűz hozzá, és ezzel számos biztonsági cég weboldalát teszi elérhetetlenné a fertőzött számítógépekről.

8. Leállítja az antivurs szoftverekhez és az egyéb biztonsági alkalmazásokhoz tartozó folyamatokat.

A szerzőről