Isolate 4 varianti del worm Mytob

Tutte hanno caratteristiche di backdoor, lasciano una porta aperta nel sistema attraverso la quale possono ricevere ordini. Questo processo non avviene direttamente, ma mediante due server chiamati 19.xxor.biz (nel caso delle varianti S, U e W) e irc.blackcarder.net, quello impiegato per Mytob.V. In questo modo, gli autori di questi codici maligni possono controllare qualsiasi macchina infettata da uno di questi worm.

Uno dei principali pericoli di queste varianti consiste nella capacità di modificare il file “hosts” del sistema. In questa maniera, evitano che gli utenti possano connettersi alle pagine web di alcuni produttori di antivirus, impedendo così il download degli aggiornamenti necessari per eliminare questi worm.

Per la loro diffusione usano tre metodi diversi:

- Sfruttano la vulnerabilità conosciuta LSASS,pubblicata e corretta da Microsoft nel suo bollettino di sicurezza MS04-011, disponibile su
http://www.microsoft.com/technet/secuirty/bulletin/ms04-011.mspx

- Attraverso risorse condivise che sono protette da password facilmente indovinabili, ciò che viene comunemente definita come “password debole”

- Per posta elettronica. Attraverso le e-mail inviano messaggi allegando file con estensione .bat, .exe, .pif, .scr o .zip nei quali si trova il codice di Mytob. Questi file possono essere nominati come Data, Doc, Document, File, Readme, Text o Body.

Gli indirizzi di posta elettronica ai quali si inviano vengono presi da file con estensione .abd, .asp, . dbx, .htm, .php, .pl, .sht e .tbb che si trovano archiviati nel sistema. Inoltre, falsificano l’indirizzo del mittente per evitare che i computer infettati possano essere localizzati rapidamente.

Le nuove varianti di Mytob evitano di inviarsi a determinati indirizzi di posta elettronica, tra i quali sono compresi quelli di alcuni produttori di antivirus, così da posticipare la sua scoperta.

Per evitare di eseguirsi più di una volta nel sistema, creano diversi “mutex”, il cui nome cambia a seconda della variante di Mytob. Così la versione S crea il mutex ggmutexk2 e la U, ggmutexk1. La verisone V invece lo chiama H-E-L-L-B-O-T-2-BY-DIABLO, molto simile alla W, denominato H-E-L-L-B-O-T.

Ultimamente l’autore o gli autori di questi worm cercano di mettere in circolazione un gran numero di codici maligni per aumentare la possibilità di infettare i PC. In questo caso, visto che si tratta di worm che consentono il controllo remoto delle macchine, l’obiettivo sembra essere la creazione di una rete di computer che possano essere controllati contemporaneamente. In questo modo si possono portare a termine un gran numero di azioni dannose: dall’installazione di altri malware, come keylogger o spyware, fino alla creazione di “zombi” destinati all’invio di messaggi spam.