Новый червь Mytob открывает черный ход
A Mytob féreg legújabb variánsa alacsonyabb szintűre állítja a megfertőzött számítógépek védelmét, és egy hátsó kaput nyit a támadók számára.
A Mytob.KM féreg elsősorban elektronikus leveleken keresztül terjed. A szükséges email címeket a megfertőzött számítógépekről gyűjti össze. A féreg igyekszik meggyengíteni a PC-k védelmi rendszerét. Azokról elérhetetlenné teszi a biztonsági cégek weboldalait, és leállítja a biztonsági szoftverekhez tartozó folyamatokat. A Mytob.KM egy hátsó kaput is nyit a támadók számára, akik ezen keresztül kártékony műveleteket hajthatnak végre.
Amikor a Mytob.KM féreg elindul akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába scrigz.exe néven.
2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\
RunServices
добавляет к вашим ключам
“PAX SYSTEM” = “\scrigz.exe” értéket.
3. Измените регистрационную базу данных.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
включен в ключ
«Старт» = значение «4».
4. A Windows címjegyzékéből és különböző kiterjesztésű fájlokból összegyűjti az email címeket.
5. A saját SMTP komponensének segítségével emailekben továbbküldi saját magát.
Предметом заражения листьев могут быть:
Your password has been updated
Ваш пароль был успешно обновлен
Вы успешно обновили свой пароль
Ваш новый пароль учетной записи утвержден
Your Account is Suspended
*DETECTED* Online User Violation
Your Account is Suspended For Security Reasons
Warning Message: Your services near to be closed.
Важное уведомление
Поддержка участников
Меры безопасности
Email Account Suspension
Notice of account limitation
A fertőzött levelek mellékletéhez tartozó .pif, .scr, .exe, .cmd vagy .bat kiterjesztésű fájlok neve az alábbi listából kerül ki:
updated-password
пароль от электронной почты
Новый пароль
password
approved-password
пароль от аккаунта
accepted-password
важные детали
Детали учетной записи
электронная почта
счет-инфо
документ
ридми
счет-отчет
6. Nyit egy hátsó kaput a 23523-as TCP porton, amelyen keresztül a támadók fájlokat tölthetnek fel a fertőzött számítógépekre, majd azokat futtathatják. Lehetőségük van a PC-k újraindítására is.
7. Sorokat fűz hozzá a hosts fájlhoz, és ezzel számos biztonsági cég weboldalát teszi elérhetetlenné.
8. Останавливает процессы, связанные с программным обеспечением безопасности.
