Megújult erővel fertőz a Mytob féreg

Kristóf Csaba, 2008. március 13. - Vírusvédelem

Computerworld címkék: féreg, trójai, vírusadatbázis

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

Az elektronikus leveleken régóta terjedő Mytob féreg egy újabb variáns formájában bukkant fel.

A Mytob.SA féreg - hasonlóan, mint az eddigi variánsai - elektronikus leveleken keresztül próbál terjedni. A hagyományos emailes férgek közé sorolható, hiszen a levelek mellékeltében elhelyezett fájlok megnyitásakor aktivizálódik. Ezt követően számtalan módosítást végez a rendszereken. Elérhetetlenné teszi a fertőzött PC-kről a biztonsági cégek weboldalait, valamint leállítja a védelmi szoftverekhez tartozó folyamatokat. Ezzel jelentős mértékben képes meggyengíteni a számítógépeket.

A féreg egy IRC szerverhez csatlakozik, amelyen keresztül fogadja a támadók parancsait. Ők a következő tevékenységeket tudják végrehajtani a kártevő segítségével:
- fájlok futtatása
- állományok Interneten keresztüli letöltése
- IRC parancsok végrehajtása
- a fertőzött számítógép újraindítása

Amikor a Mytob.SA féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\wldmgr.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"wldmgr" = "wldmgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\"wldmgr" = "wldmgr.exe"

3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"

4. Email címeket gyűjt össze a Windows címjegyzékéből és különböző fájlokból.

5. A saját SMTP komponensének segítségével továbbküldi saját magát.

A fertőzött levelek tárgya lehet:
*IMPORTANT* Information
Account Information
Account Status Updated
Critical Information
Important Data
Important Information
Important Notice
Important Notification
Information about your account
Information about your account
Notification regarding your account
Security Information
Warning: Read ASAP

A fertőzött levelek mellékletéhez tartozó fájlok neve lehet:
document
important-details
important-doc
important-document
information
info-doc
readme.t

Ezekhez a féreg .bat, .cmd, .exe, .pif vagy .scr kiterjesztésű állományokat rendel hozzá.

6. A 8080-as TCP porton keresztül csatlakozik egy IRC szerverhez, és várakozik a támadók parancsaira.

7. A hosts fájl módosításával a fertőzött számítógépekről elérhetetlenné teszi egyes biztonsági cégek weboldalait.

8. Leállítja a biztonsági szolgáltatásokhoz tartozó folyamatokat.

Kapcsolódó hírek

Hozzászólások (1 db)

Hozzászólások

Gerardin 1

Azért rossz lehet a windows-t használóknak, hogy szinte nap mint nap újabb és újabb veszélyek fenyegetik õket :( Huhhhhhhhhhhhh......... Hála Istennek, már 8 éve nem használok Win-t :-))

2008. március 14. 08:59

Gyorssegély

Antispyware: Ad-Aware | Spybot-S&D | Spy Sweeper | Spyware Terminator

Tűzfal: Comodo | Outpost | Sunbelt | ZoneAlarm

Mentés: Cobian Backup

0.Nap

BalaBit IT Security Blog

Karrier

Computerworld hírek

Szponzorált linkek:

Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.

CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó

*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás

kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink

IDG Worldwide: computerwoche.de | computerwelt.at | computerworld.ch | computerworld.ro