Net-Worm.Win32.Mytob.x - cетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Написан на языке Visual C++. Может быть упакован различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в упакованном виде — примерно 49 КБ и более, размер в распакованном виде может быть от 160 КБ до 280 КБ.
Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) и Microsoft Windows DCOM RPС (MS03-026).
Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем WindowsFirewall.exe:
%System%\WindowsFirewall.exe
Также червь создает свои копии в корне диска C: со следующими именами:
C:\funny_pic.scr
C:\my_photo2005.scr
C:\see_this!!.scr
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]
[HKLM\Software\Microsoft\OLE]
"Windows Firewall"="WindowsFirewall.exe"
Также в корне диска C: червь создает файл с именем hellmsn.exe (около 6 КБ), который детектируется Антивирусом Касперского как Net-Worm.Win32.Mytob.f.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Удаленное администрирование
Net-Worm.Win32.Mytob.x открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
Червь изменяет файл %System%\drivers\etc\hosts, блокируя обращения к различным сайтам. |
![[ Nextaz.Com ]](http://nextaz.com/img/logoz.gif)
