A Mytob féreg legújabb variánsa alacsonyabb szintűre állítja a megfertőzött számítógépek védelmét, és egy hátsó kaput nyit a támadók számára.

A Mytob.KM féreg elsősorban elektronikus leveleken keresztül terjed. A szükséges email címeket a megfertőzött számítógépekről gyűjti össze. A féreg igyekszik meggyengíteni a PC-k védelmi rendszerét. Azokról elérhetetlenné teszi a biztonsági cégek weboldalait, és leállítja a biztonsági szoftverekhez tartozó folyamatokat. A Mytob.KM egy hátsó kaput is nyit a támadók számára, akik ezen keresztül kártékony műveleteket hajthatnak végre.

Amikor a Mytob.KM féreg elindul akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába scrigz.exe néven.

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\
RunServices
kulcsaihoz hozzáadja a
“PAX SYSTEM” = “\scrigz.exe” értéket.

3. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess
kulcsában szereplő
“Start” = “4” értéket.

4. A Windows címjegyzékéből és különböző kiterjesztésű fájlokból összegyűjti az email címeket.

5. A saját SMTP komponensének segítségével emailekben továbbküldi saját magát.

A fertőzött levelek tárgya lehet:
Your password has been updated
Your password has been successfully updated
You have successfully updated your password
Your new account password is approved
Your Account is Suspended
*DETECTED* Online User Violation
Your Account is Suspended For Security Reasons
Warning Message: Your services near to be closed.
Important Notification
Members Support
Security measures
Email Account Suspension
Notice of account limitation

A fertőzött levelek mellékletéhez tartozó .pif, .scr, .exe, .cmd vagy .bat kiterjesztésű fájlok neve az alábbi listából kerül ki:
updated-password
email-password
new-password
password
approved-password
account-password
accepted-password
important-details
account-details
email-details
account-info
document
readme
account-report

6. Nyit egy hátsó kaput a 23523-as TCP porton, amelyen keresztül a támadók fájlokat tölthetnek fel a fertőzött számítógépekre, majd azokat futtathatják. Lehetőségük van a PC-k újraindítására is.

7. Sorokat fűz hozzá a hosts fájlhoz, és ezzel számos biztonsági cég weboldalát teszi elérhetetlenné.

8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.