Mytob (orm)

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 4. december 2012; checks kræver 6 redigeringer .

mytob
Fulde navn (Kaspersky)	Net-Worm.Win32.Mytob
Type	internet orm
År for optræden	2005
Symantec beskrivelse

Mytob-ormen er en computervirus , internetorm , opdaget på netværket den 26. februar 2005 .

Andre titler

Net Worm.Win32.E77.a	"Kaspersky Lab"
W32/Mydoom.bg@MM	McAfee
W32.Mytob@mm	Symantec
Win32.HLLM.MyDoom.19	Læge Web
W32/Mytob-A	Sophos
Win32/Mydoom.BG@mm	RAV
WORM_MYTOB.E	Trend Micro
Worm/Zusha.A	H+BEDV
W32/Mytob.B@mm	FRISK
I-Worm/Mytob.A	Grisoft
Win32.Worm.Mytob.A	SOFTWIN
Worm.Mytob.A	ClamAV
W32/Mytob.A.orm	Panda
Win32/Mytob.A	Eset

Følgende modifikationer findes: .a, .be, .bi, .bk, .bt, .c, .cf, .ch, .dc, .h, .q, .r, .t, .u, .v, w, .x, .y

Tekniske detaljer

Det er et Windows -program ( PE EXE -fil), omkring 43KB i størrelse (pakket med FSG). Størrelsen på den udpakkede fil er omkring 143 KB. Virussen spredes ved hjælp af en sårbarhed i Microsoft Windows LSASS-tjenesten (MS04-011 [1] ), samt via internettet som vedhæftede filer til inficerede e-mails. Den sendes til alle e-mailadresser, der findes på den inficerede computer.

Ormen er baseret på Email-Worm.Win32.Mydoom-kildekoden og indeholder en bagdørsfunktion , der accepterer kommandoer via IRC -kanaler . Net-Worm.Win32.Mytob.a åbner TCP - port 6667 på den inficerede maskine for at oprette forbindelse til IRC-kanaler for at modtage kommandoer. Dette giver en angriber mulighed for at få fuld adgang til systemet via IRC-kanaler, få information fra den inficerede computer, downloade alle filer, køre og slette dem. Derudover blokerer det adgangen til antivirusudvikleres ressourcer.

Installation

Efter lanceringen kopierer ormen sig selv til Windows-systemmappen under navnet msnmsgr.exe:

%System%\msnmsgr.exe

Ormen registrerer derefter denne fil i autorun-nøglerne i systemregistret:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] "MSN"="msnmsgr.exe"

Spredning via LSASS sårbarhed

Ormen lancerer procedurer for at vælge IP-adresser til angreb og sender en anmodning til TCP-port 445. Hvis fjerncomputeren reagerer på forbindelsen, bruger ormen LSASS-sårbarheden til at køre sin egen kode på fjerncomputeren.

Noter

1. ↑ Microsoft Security Bulletin MS04-011: Sikkerhedsopdatering til Microsoft Windows (835732) . Hentet 10. maj 2008. Arkiveret fra originalen 2. januar 2007. (ubestemt)

Se også

• Tidslinje for computervirus og orme

Links

• Mytob-virus spredes på  hospitaler
• Virus lukker systemer på tre  hospitaler i London
• Mytob e-mail-orm spreder sig  hurtigt
• Forebyg Mytob-  ormen
• blok vektor.  Stop mytob
• Beskrivelse af ormen på Viruslist.com-webstedet for Kaspersky Lab

Hackerangreb fra 2000'erne
Største angreb	Operation Bot Roast Operation Red October Projekt "Kanologi" titanium regn
Grupper og fællesskaber af hackere	Anonym Enhed 61398 (PLA)
enlige hackere	Dmitry Sklyarov
Opdaget kritiske sårbarheder	Splintrede angreb
Computervirus	Agent.BTZ Anna Kournikova Asprox Bagdør.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto kode rød Kode Rød II Commwarrior Conficker Cutwail donbot Festi Fizzer JEG ELSKER DIG Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrator At klemme Efeu RFID-virus Rustock Salitet Santy Sasser ædru Så stor SpyEye SQL Slammer Srizby Storm Orm Torpig Virut Vulcanbot Waledac Nul adgang Zeus Zobot
1990'erne • 2000'erne • 2010'erne