Mytob (червь)
| Mytob | |
|---|---|
| Полное название (Касперский) | Net-Worm.Win32.Mytob |
| Тип | интернет-червь |
| Год появления | 2005 |
| Описание Symantec | |
Червь Mytob — компьютерный вирус, интернет-червь, обнаруженный в сети 26 февраля 2005 года.
Другие названия[править | править код]
| Net-Worm.Win32.E77.a | «Лаборатория Касперского» |
| W32/Mydoom.bg@MM | McAfee |
| W32.Mytob@mm | Symantec |
| Win32.HLLM.MyDoom.19 | Doctor Web |
| W32/Mytob-A | Sophos |
| Win32/Mydoom.BG@mm | RAV |
| WORM_MYTOB.E | Trend Micro |
| Worm/Zusha.A | H+BEDV |
| W32/Mytob.B@mm | FRISK |
| I-Worm/Mytob.A | Grisoft |
| Win32.Worm.Mytob.A | SOFTWIN |
| Worm.Mytob.A | ClamAV |
| W32/Mytob.A.worm | Panda |
| Win32/Mytob.A | Eset |
Существуют следующие модификации: .a, .be, .bi, .bk, .bt, .c, .cf, .ch, .dc, .h, .q, .r, .t, .u, .v, .w, .x, .y
Технические детали[править | править код]
Является приложением Windows (PE EXE-файл), имеет размер около 43КБ (упакован FSG). Размер распакованного файла около 143КБ. Вирус распространяется, используя уязвимость в сервисе LSASS Microsoft Windows (MS04-011[1]), а также через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь основан на исходных кодах Email-Worm.Win32.Mydoom, содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Net-Worm.Win32.Mytob.a открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать и удалять их. Помимо этого, он блокирует доступ к ресурсам антивирусных разработчиков.
Инсталляция[править | править код]
После запуска червь копирует себя в системный каталог Windows под именем msnmsgr.exe:
%System%\msnmsgr.exe
Затем червь регистрирует этот файл в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] "MSN"="msnmsgr.exe"
Распространение через LSASS-уязвимость[править | править код]
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.
Примечания[править | править код]
- ↑ Microsoft Security Bulletin MS04-011: Security Update for Microsoft Windows (835732). Дата обращения: 10 мая 2008. Архивировано 2 января 2007 года.
См. также[править | править код]
Ссылки[править | править код]
- Mytob virus spreads in hospitals (англ.)
- Virus shuts down systems at three London hospitals (англ.)
- Mytob e-mail worm proliferating quickly (англ.)
- [antivirus.about.com/od/virusdescriptions/a/mytob.htm Prevent the Mytob worm] (англ.)
- Block the vector. Stop mytob (англ.)
- Описание червя на сайте Viruslist.com Лаборатории Касперского
 | Это заготовка статьи о программном обеспечении. Помогите Википедии, дополнив её. |
Хакерские атаки 2000-х | |
|---|---|
| Крупнейшие атаки | |
| Группы и сообщества хакеров | |
| Хакеры-одиночки | |
| Обнаруженные критические уязвимости | |
| Компьютерные вирусы |
|
 | Некоторые внешние ссылки в этой статье ведут на сайты, занесённые в спам-лист |