Mytob (mask)

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 4 december 2012; kontroller kräver 6 redigeringar .

mytob
Fullständigt namn (Kaspersky)	Net-Worm.Win32.Mytob
Sorts	internet mask
År av utseende	2005
Symantec Beskrivning

Mytob-masken är ett datavirus , internetmask , som upptäcktes i nätverket den 26 februari 2005 .

Andra titlar

Net Worm.Win32.E77.a	"Kaspersky Lab"
W32/Mydoom.bg@MM	McAfee
W32.Mytob@mm	Symantec
Win32.HLLM.MyDoom.19	Doktor Webb
W32/Mytob-A	Sophos
Win32/Mydoom.BG@mm	RAV
WORM_MYTOB.E	Trend Micro
Worm/Zusha.A	H+BEDV
W32/Mytob.B@mm	FRISK
I-Worm/Mytob.A	Grisoft
Win32.Worm.Mytob.A	SOFTWIN
Worm.Mytob.A	ClamAV
W32/Mytob.A.mask	Panda
Win32/Mytob.A	Eset

Följande modifieringar finns: .a, .be, .bi, .bk, .bt, .c, .cf, .ch, .dc, .h, .q, .r, .t, .u, .v, w, .x, .y

Tekniska detaljer

Det är en Windows -applikation ( PE EXE -fil), cirka 43KB i storlek (packad med FSG). Storleken på den uppackade filen är cirka 143 KB. Viruset sprids med hjälp av en sårbarhet i Microsoft Windows LSASS-tjänsten (MS04-011 [1] ), samt via Internet som bilagor till infekterade e-postmeddelanden. Den skickas till alla e-postadresser som finns på den infekterade datorn.

Masken är baserad på källkoden Email-Worm.Win32.Mydoom och innehåller en bakdörrsfunktion som accepterar kommandon via IRC -kanaler . Net-Worm.Win32.Mytob.a öppnar TCP - port 6667 på den infekterade maskinen för att ansluta till IRC-kanaler för att ta emot kommandon. Detta tillåter en angripare att ha full tillgång till systemet via IRC-kanaler, få information från den infekterade datorn, ladda ner filer, köra och ta bort dem. Dessutom blockerar det åtkomst till antivirusutvecklares resurser.

Installation

Efter lanseringen kopierar masken sig själv till Windows systemkatalog under namnet msnmsgr.exe:

%System%\msnmsgr.exe

Masken registrerar sedan denna fil i autorun-nycklarna i systemregistret:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Kör] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] "MSN"="msnmsgr.exe"

Spridning via LSASS sårbarhet

Masken startar procedurer för att välja IP-adresser att attackera och skickar en begäran till TCP-port 445. Om fjärrdatorn svarar på anslutningen använder masken LSASS-sårbarheten för att köra sin egen kod på fjärrdatorn.

Anteckningar

1. ↑ Microsofts säkerhetsbulletin MS04-011: Säkerhetsuppdatering för Microsoft Windows (835732) . Hämtad 10 maj 2008. Arkiverad från originalet 2 januari 2007. (obestämd)

Se även

• Tidslinje för datavirus och maskar

Länkar

• Mytob-virus sprids på  sjukhus
• Virus stänger av systemen på tre  sjukhus i London
• Mytob e-postmask sprider sig  snabbt
• Förhindra Mytob-  masken
• block vektor.  Stoppa mytob
• Beskrivning av masken på Viruslist.com-webbplatsen för Kaspersky Lab

Hackerattacker på 2000-talet
Största attackerna	Operation Bot Roast Operation Red October Projekt "Kanologi" titan regn
Grupper och grupper av hackare	Anonym Enhet 61398 (PLA)
ensamma hackare	Dmitry Sklyarov
Upptäckte kritiska sårbarheter	Spränga attack
Datavirus	Agent.BTZ Anna Kournikova Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto kod röd Kod Röd II Commwarrior Conficker Cutwail donbot Festi Fizzer JAG ÄLSKAR DIG Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrator Nypa Poison Ivy RFID-virus Rustock Salitet Santy Sasser nykter Så stor SpyEye SQL Slammer Srizby Stormmask Torpig Virut Vulcanbot Waledac Noll åtkomst Zeus Zobot
1990 -tal • 2000 -tal • 2010- tal