【分享】Net-Worm.Win32.Mytob.u 技術分析

Net-Worm.Win32.Mytob.u 技術分析

這個網路蠕蟲感染執行 Windows 作業系統的電腦. 它透過 LSASS 的漏洞進行擴散, 關於此漏洞的詳細資料可查看此連結 here.
這個蠕蟲也能夠透過被感染的電子郵件附件進行擴散. 它將會將自身傳送到由被感染的搜集到的電子郵件位址.
由技術面來看, 這個版本幾乎與 Net-Worm.Win32.Mytob.a 相同, 只有以下的幾點是不同的 :

1. Mytob.u 的檔案大小大約為45KB , 以 UPack 封裝.　未封裝的檔案大小約為 233KB .

2. 並不會建立 %System%\msnmsgr.exe, Mytob.u 建立的檔案名稱為%System%\mathchk.exe

3. 並且也將建立以下的檔案在系統磁碟機中 C:\

C:\pic.scr
C:\see_this!.pif
C:\my_picture.scr
這些檔案都是這個蠕蟲的檔案.

4.這個蠕蟲也將本身加入以下的註冊機碼中 :

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\OLE]
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
[HKLM\Software\Microsoft\OLE]"RealPlayer Ath Check" = "rnathchk.exe"

5.Mytob.u 建立一個 mutex 名稱為 "I_FUCK_DEAD_PPL" 已表示其存在這個系統中.

6.Net-Worm.Win32.Mytob.u 在受感染的機器上隨機開啟 TCP port 以建立與下面這些 IRC 伺服器的連線 :

spm.slo-partija.info
spm.gobice.net
egwf.wegberobpk.info

這將可能使得一個有心人士在遠端獲得系統完整的存取權限, 以蒐集被感染設備中的資訊, 可透過 IRC 頻道下載, 執行或者刪除任何檔案.

7.這個蠕蟲將變更 "%System%\drivers\etc\hosts" 的檔案使得受感染的設備無法連接以下的網站:

127.0.0.1 [url]www.symantec.com[/url]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [url]www.sophos.com[/url]
127.0.0.1 sophos.com
127.0.0.1 [url]www.mcafee.com[/url]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [url]www.viruslist.com[/url]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [url]www.f-secure.com[/url]
127.0.0.1 kaspersky.com
127.0.0.1 [url]www.avp.com[/url]
127.0.0.1 [url]www.kaspersky.com[/url]
127.0.0.1 avp.com
127.0.0.1 [url]www.networkassociates.com[/url]
127.0.0.1 networkassociates.com
127.0.0.1 [url]www.ca.com[/url]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [url]www.my-etrust.com[/url]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [url]www.nai.com[/url]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [url]www.microsoft.com[/url]
127.0.0.1 [url]www.trendmicro.com[/url]
127.0.0.1 metalhead2005.info
127.0.0.1 irc.blackcarder.net
127.0.0.1 d66.myleftnut.info