RSS-каналы
Уровень опасности: 1
Net-Worm.Win32.Mytob.bi
| Время детектирования | 24 дек 2005 16:17 MSK |
| Время выпуска обновления | 20 янв 2010 21:08 MSK |
| Описание опубликовано | 24 дек 2005 16:17 MSK |
Технические детали
Этот сетевой червь является типичным представителем семейства червей Mytob, заражающих компьютеры под управлением операционной системы MS Windows и распространяющихся через интернет в виде вложений в зараженные электронные письма, а также содержащих в себе функцию бэкдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows и регистрирует себя в ключах автозапуска системного реестра.
Распространение через email
Вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Примеры зараженных писем:
Действия
Net-Worm.Win32.Mytob.bi открывает на зараженной машине TCP-порт для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать и удалять их.
Также червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам, межсетевым экранам и другим безопасным программам.
Также червь может изменять файл %System%\drivers\etc\hosts с целью блокирования доступа к сайтам различных антивирусных компаний.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
Net-Worm.
- Net-Worm.
Win32. Mytob. bz («Лаборатория Касперского») - Virus:
W32/Polybot@MM (McAfee) - W32/Mytob-DN (Sophos)
- Worm.
Mytob. FG (ClamAV) - Malicious Packer (Panda)
- W32/Mytob.
GW@mm (FPROT) - Worm:
Win32/Gaobot (MS(OneCare)) - Win32.
HLLW. Agobot (DrWeb) - Win32/Mytob.
FY worm (Nod32) - Win32.
Worm. Mytob. BI (BitDef7) - Worm.
Agobot. Wonk (VirusBuster) - Win32:
Mytob-GI [Wrm] (AVAST) - Backdoor.
Win32. Agobot (Ikarus) - I-Worm/Mytob.
JU (AVG) - WORM/Mytob.
HE (AVIRA) - W32.
Gaobot. gen!poly (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Worm.
Mytob. fr (Rising) - Mal_Bot (TrendMicro)
- Worm.
Agobot. Wonk (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей