Net-Worm.Win32.Mytob.u 技術分析

這個網路蠕蟲感染執行 Windows 作業系統的電腦. 它透過 LSASS 的漏洞進行擴散, 關於此漏洞的詳細資料可查看此連結 here.
這個蠕蟲也能夠透過被感染的電子郵件附件進行擴散. 它將會將自身傳送到由被感染的搜集到的電子郵件位址.
由技術面來看, 這個版本幾乎與 Net-Worm.Win32.Mytob.a 相同, 只有以下的幾點是不同的 :

1. Mytob.u 的檔案大小大約為45KB , 以 UPack 封裝. 未封裝的檔案大小約為 233KB .

2. 並不會建立 %System%\msnmsgr.exe, Mytob.u 建立的檔案名稱為%System%\mathchk.exe

3. 並且也將建立以下的檔案在系統磁碟機中 C:\

C:\pic.scr
C:\see_this!.pif
C:\my_picture.scr
這些檔案都是這個蠕蟲的檔案.

4.這個蠕蟲也將本身加入以下的註冊機碼中 :

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
[HKLM\Software\Microsoft\OLE]"RealPlayer Ath Check" = "rnathchk.exe"

5.Mytob.u 建立一個 mutex 名稱為 "I_FUCK_DEAD_PPL" 已表示其存在這個系統中.

6.Net-Worm.Win32.Mytob.u 在受感染的機器上隨機開啟 TCP port 以建立與下面這些 IRC 伺服器的連線 :

spm.slo-partija.info
spm.gobice.net
egwf.wegberobpk.info

這將可能使得一個有心人士在遠端獲得系統完整的存取權限, 以蒐集被感染設備中的資訊, 可透過 IRC 頻道下載, 執行或者刪除任何檔案.

7.這個蠕蟲將變更 "%System%\drivers\etc\hosts" 的檔案使得受感染的設備無法連接以下的網站:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
127.0.0.1 metalhead2005.info
127.0.0.1 irc.blackcarder.net
127.0.0.1 d66.myleftnut.info