W32.Mytob.KC

W32.Mytob.KC

11:05 | 27.05.2011

Mô tả

Khi W32.Mytob.KC hoạt động nó thực hiện các công việc sau:

- Copy chính nó thành một tệp: %System%\Phantom.exe; %Windir%\Phantom.exe

Chú ý:

%System% là chỉ thư mục system32 của win2000, winxp, win2003 hoặc chỉ thư mục system của win95, win98, winMe
%Windir là chỉ thư mục cài đặt windows thường là C:\Windows, C:\WinNT
%Temp% là thư mục temp của windows C:\Windows\Temp hoặc C:\WinNT\Temp

Thêm các giá trị

"Shell" = "Explorer.exe Phantom.exe"
"userinit" = "userinit.exe Phantom.exe"

- Vào Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Tạo ra mutex để cho phép chỉ một phiên bản virus hoạt động trên máy tính nạn nhân.

[Phantom]

Lấy thông tin về địa chỉ email từ những tệp có đuôi sau: wab, .adb , .tbb, .dbx,.asp, .php, .sht, .htm, .xml, .cgi, .jsp, .txt

Tránh việc gửi chính nó tới các địa chỉ email có chứa các xâu ký tự sau:

 .gov

 .mil

 abuse

 accoun

 acketst

 admin

 anyone

 arin.

 avp

 berkeley

 borlan

 bsd

 bugs

 certific

 contact

 example

 feste

 fido

 foo.

 fsf.

 gnu

 gold-certs

 google

 gov.

 help

 tanford.e

 the.bat

 nodomai

 noone

 not

 nothing

 ntivi

 page

 panda

 pgp

 postmaster

 privacy

 rating

 rfc-ed

 ripe.

 root

 ruslis

 samples

 secur

 sendmail

 service

 site

 soft

 somebody

 someone

 sopho

 spam

 spm

 submit

 iana

 ibm.com

 icrosof

 icrosoft

 ietf

 info

 inpris

 isc.o

 isi.e

 kernel

 linux

 listserv

 master

 math

 mit.e

 mozilla

 mydomai

 no

 nobody

 unix

 usenet

 utgers.ed

 webmaster

 www

 you

 your

 support

Kiểm tra các địa chỉ máy chủ email có phần đầu như sau:

 mx

 mail

 smtp

 mx1

 mxs

 mail1

 relay

 ns

 gate

- Dùng các địa chỉ email thu thập được để phát tán chính nó.

- Mở backdoor và kết nối tới máy chủ IRC và URL SmallPhantom.3322.org và đợi lệnh tấn công từ xa của hacker.

127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 Update2.JiangMin.com
127.0.0.1 Update3.JiangMin.com
127.0.0.1 rising.com.cn
127.0.0.1 www.rising.com.cn
127.0.0.1 online.rising.com.cn
127.0.0.1 iduba.net
127.0.0.1 www.iduba.net
127.0.0.1 kingsoft.com
127.0.0.1 db.kingsoft.com
127.0.0.1 scan.kingsoft.com
127.0.0.1 kaspersky.com.cn
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 symantec.com.cn
127.0.0.1 www.symantec.com.cn
127.0.0.1 www.symantec.com
securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com

127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.pandaguard.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com

Khoá không cho máy tính kết nối tới các trang web bảo mật bằng cách thay đổi thông số trong file

- Ghi lại tất cả các thao tác trên bàn phím vào tệp C:\Shell.sys 7. Dùng các địa chỉ email

- Thu thập được để phát tán chính nó.

CÁCH DIỆT

-
Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus
không quét được thông tin trên phần Restore của Windows.

-
Xoá các khoá trong registry. Các giá trị cần xoá đã liệt kê ở trên
(Trước khi xóa registry bước quan trọng cần thiết là sao lưu trước khi
xóa)

W32.Mytob.KC

W32.Mytob.KC

W32.Mytob.KC :: Comments