A Symantec a Mytob féreg legújabb variánsát a terjedési sebesség szempontjából az egyik legveszélyesebb kategóriába sorolta.
A Mytob.IA elektronikus levelek útján nagyon gyors terjedésre képes. A féreg alacsonyabb szintűre állítja a Windows biztonsági beállításait, és leállítja a biztonsági szoftverekhez tartozó folyamatokat. Ezért a többi kártékony programmal szemben is védtelenné teszi a megfertőzött számítógépeket. Mindezek mellett a fertőzött rendszerekről elérhetetlenné teszi a biztonsági cégek weboldalait is.
A Mytob.IA féreg további ismert nevei: Net-Worm.Win32.Mytob.bi [Kaspersky Lab], W32/Mytob.gen@MM [McAfee], WORM_MYTOB.FH [Trend Micro].
Amikor a W32.Mytob.IA féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába netcog.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\
RunServices
kulcsaihoz hozzáadja a
“Windows Networks” = “netcog.exe” értéket.
3. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shared Access
bejegyzésében szereplő következő értéket:
“Start” = “4”
4. A Windows címjegyzékéből összegyűjti az email címeket. Ezek mellé előre meghatározott névlista alapján további email címeket is generál.
5. Az összegyűjtött illetve a generált email címekre a saját SMTP komponensének segítségével továbbküldi magát.
A fertőzött levelek tárgya lehet:
You have successfully updated your password
Your new account password is approved
Your password has been successfully updated
Your password has been updated.
Security measures
WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSED
YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
account-details
account-info
account-report
account-password
document
email-details
important-details
new-password
readme
password
A csatolt fájl kiterjesztése az alábbi listából kerül ki:
BAT
CMD
EXE
PIF
SCR
ZIP
6. Nyit egy hátsó kaput, és ezen keresztül várja a támadók parancsait, akik az alábbi műveleteket végezhetik el:
– fájlok lefuttatása
– fájlok letöltése
– a féreg verziójának lekérdezése
– a féreg leállítása, eltávolítása illetve frissítése
7. A hosts fájlhoz sorokat fűz hozzá, és ezzel számos biztonsági cég weboldalát teszi elérhetetlenné a fertőzött számítógépekről.
8. Leállítja az antivurs szoftverekhez és az egyéb biztonsági alkalmazásokhoz tartozó folyamatokat.
A Mytob.IA féreg további ismert nevei: Net-Worm.Win32.Mytob.bi [Kaspersky Lab], W32/Mytob.gen@MM [McAfee], WORM_MYTOB.FH [Trend Micro].
Amikor a W32.Mytob.IA féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába netcog.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\
RunServices
kulcsaihoz hozzáadja a
“Windows Networks” = “netcog.exe” értéket.
3. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shared Access
bejegyzésében szereplő következő értéket:
“Start” = “4”
4. A Windows címjegyzékéből összegyűjti az email címeket. Ezek mellé előre meghatározott névlista alapján további email címeket is generál.
5. Az összegyűjtött illetve a generált email címekre a saját SMTP komponensének segítségével továbbküldi magát.
A fertőzött levelek tárgya lehet:
You have successfully updated your password
Your new account password is approved
Your password has been successfully updated
Your password has been updated.
Security measures
WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSED
YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
account-details
account-info
account-report
account-password
document
email-details
important-details
new-password
readme
password
A csatolt fájl kiterjesztése az alábbi listából kerül ki:
BAT
CMD
EXE
PIF
SCR
ZIP
6. Nyit egy hátsó kaput, és ezen keresztül várja a támadók parancsait, akik az alábbi műveleteket végezhetik el:
– fájlok lefuttatása
– fájlok letöltése
– a féreg verziójának lekérdezése
– a féreg leállítása, eltávolítása illetve frissítése
7. A hosts fájlhoz sorokat fűz hozzá, és ezzel számos biztonsági cég weboldalát teszi elérhetetlenné a fertőzött számítógépekről.
8. Leállítja az antivurs szoftverekhez és az egyéb biztonsági alkalmazásokhoz tartozó folyamatokat.