2005-05-30 오후 4:08:51,조회수 : 4799
제목 .. Mytob의 변종 급속 확산 작성자 보안사업부
Mytob의 변종 급속 확산 
 
Mytob는 Windows PE EXE 파일로 약 43KB이며 FSG형태로 압축되어 있다. 압축해제 시 약 
143KB이며 Mytob는 Windows  LSASS 서비스의 취약점과 감염된 메시지의 첨부 파일 형태
로 전파된다. Mytob은 피해 컴퓨터에서 수집한 이메일 주소로 자신을 발송하며 Mydoom
의 소스코드를 기반으로 제작 되었다. 또한 IRC채널을 통해 제어되는 백도어 기능을 포함
하고 있다.

감염 경로
실행이 되면 Mytob는 자신을 Windows 시스템 디렉토리에 sky.exe로 복사한다.
%System%sky.exe

그리고 시스템 레지스트리에 등록한다.
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKCUSYSTEMCurrentControlSetControlLsa]
[HKCUSoftwareMicrosoftOLE]

LSASS 취약점을 이용한 전파
Mytob는 공격할 IP 주소를 선택하고 TCP 445번 포트로 요청을 전송한다. 만일 원격 컴퓨터
가 응답을 하면 Mytob는 LSASS 취약점을 악용하여 자신을 피해 컴퓨터에 실행한다.

Email을 통한 전파
Mytob는 피해 컴퓨터 내에서 이메일 주소를 수집하고 다음의 확장자를 가지는 파일을 검
색한다.

 adb asp dbx htm php pl sht tbb wab 

Mytob는 다음의 확장자를 가지는 스트링은 무시한다.
           .edu .gov .mil  accoun  acketst  admin  anyone  arin.  avp  berkeley   borlan bsd 
bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help hotmail 
iana ibm.com icrosof icrosoft ietf   info  inpris  isc.o  isi.e  kernel  linux  listserv math  me  
mit.e  mozilla  msn.  mydomai  no  nobody  nodomai  noone not  nothing  ntivi  page  
panda  pgp  postmaster  privacy  rating  rfc-ed  ripe.  root  ruslis  samples  secur  
sendmail  service  site soft  somebody  someone  sopho  submit  support  syma  tanford.e 
the.bat  unix  usenet  utgers.ed  webmaster  you  your 

Mytob는 감염된 메시지를 전송하기 위해 SMTP 서버와 직접 연결을 생성한다.

원격 제어
Mytob은 IRC 채널을 통해 명령을 수신하기 위하여 피해 컴퓨터의 TCP 6667 포트를 개방한
다. 원격 악성 사용자는 감염된 피해 컴퓨터에 모든 권한을 얻게 되어 자료의 다운로드, 실
행, 파일의 삭제등의 작업을 수행하게 된다.