Connect with us

Hibaértesítő e-mailnek álcázva terjed a Mytob féreg

Dotkom

Hibaértesítő e-mailnek álcázva terjed a Mytob féreg

Többnyire hálózati problémáknak álcázottan érkezik az az elektronikus levél, amely a férget hordozza.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, a következő domainek egyikével:
. aol.com
. msn.com
. yahoo.com
. juno.com
. fbi.gov
. cia.gov
. hotmail.com

Tárgy: az alábbiak valamelyike:
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
– Error

Tartalom: a következők egyike:
– Here are your banks documents.
– The original message was included as an attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– The message contains Unicode characters and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– I have received your document. The corrected document is attached.

Csatolmány: egy .bat, .cmd, .exe, .pif, .scr kiterjesztésű állomány, a következő nevek valamelyikével:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text

Megjegyzés: ha a csatolmány ZIP állomány, akkor a file-nak van egy második kiterjesztése is: .doc, .txt vagy .htm

A féreg paraméterei

Felfedezésének ideje: 2005. április 21.
Utolsó frissítés ideje: 2005. április 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 46.791 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba taskgmrs.exe névvel
– további file-okat generál a C meghajtó gyökerében (funny pic.scr, my_photo2005.scr, see_this!!.scr)
– szintén a C gyökerében hozza létre a hellmsn.exe állományt, amely egy korábbi változatának (W32.Mytob.L@mm) másolata
– hozzáadja a “WINTASK” = “taskgmr.exe” bejegyzést a következő kulcsokhoz:
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/System/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa
– létrehozza a H-E-L-L-B-O-T nevű mutexet, hogy csak egyszer töltődjön be a memóriába
– e-mailcímek után kutat a Windows Address Bookjában és különböző állományokban
– a fent ismertetett karakterisztikában e-maileket küld saját SMTP-motorja révén az összegyűjtött címekre
– megpróbál az njbv.gotdns.com IRC-szerver egyik csatornájához csatlakozni, és alkotójától érkező parancsokra várakozik, melyek a következők lehetnek:
. file-ok letöltése, letörlése, lefuttatása
. számítógép újraindítása stb.
– olyan számítógépek után kutat, melyek a Windows Local Security Authority Service Remote Buffer Overflow vagy a Windows DCOM RPC Interface Buffer Overrun sebezhetőségnek ki vannak téve
– amennyiben sikerrel jár, létrehozhatja a 2pac.txt file-t az újonnan megfertőzött PC-n; ez megnyitja a 12187-es portot és letölti a féreg másolatát bingoo.exe néven
– a System/drivers/etc/hosts állományban olyan módosításokat végez, aminek következtében számos antivírus technológiával foglalkozó cég website-ja elérhetetlenné válik



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő