會員 ![]() | 【分享】Net-Worm.Win32.Mytob.u 技術分析 Net-Worm.Win32.Mytob.u 技術分析 這個網路蠕蟲感染執行 Windows 作業系統的電腦. 它透過 LSASS 的漏洞進行擴散, 關於此漏洞的詳細資料可查看此連結 here. 這個蠕蟲也能夠透過被感染的電子郵件附件進行擴散. 它將會將自身傳送到由被感染的搜集到的電子郵件位址. 由技術面來看, 這個版本幾乎與 Net-Worm.Win32.Mytob.a 相同, 只有以下的幾點是不同的 : 1. Mytob.u 的檔案大小大約為45KB , 以 UPack 封裝. 未封裝的檔案大小約為 233KB . 2. 並不會建立 %System%\msnmsgr.exe, Mytob.u 建立的檔案名稱為%System%\mathchk.exe 3. 並且也將建立以下的檔案在系統磁碟機中 C:\ C:\pic.scr C:\see_this!.pif C:\my_picture.scr 這些檔案都是這個蠕蟲的檔案. 4.這個蠕蟲也將本身加入以下的註冊機碼中 : [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] [HKLM\Software\Microsoft\OLE]"RealPlayer Ath Check" = "rnathchk.exe" 5.Mytob.u 建立一個 mutex 名稱為 "I_****_DEAD_PPL" 已表示其存在這個系統中. 6.Net-Worm.Win32.Mytob.u 在受感染的機器上隨機開啟 TCP port 以建立與下面這些 IRC 伺服器的連線 : spm.slo-partija.info spm.gobice.net egwf.wegberobpk.info 這將可能使得一個有心人士在遠端獲得系統完整的存取權限, 以蒐集被感染設備中的資訊, 可透過 IRC 頻道下載, 執行或者刪除任何檔案. 7.這個蠕蟲將變更 "%System%\drivers\etc\hosts" 的檔案使得受感染的設備無法連接以下的網站: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com 127.0.0.1 metalhead2005.info 127.0.0.1 irc.blackcarder.net 127.0.0.1 d66.myleftnut.info |
回覆 |
|
![]() | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
【病毒】卡巴掃出來的 worm.win32.vking.lm///worm.win32.vking.jy | joexx12 | -- 防 駭 / 防 毒 版 | 2 | 2007-05-29 11:06 PM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。