Mytob - robak blokujący

Mytob rozprzestrzenia się na dwa sposoby - poprzez zainfekowane e-maile, a także wykorzystując znany od kilku miesięcy błąd w zabezpieczeniach systemów operacyjnych z rodziny Windows (chodzi o błąd w module LSASS). Producent systemów - Microsoft - już dawno udostępnił uaktualnienie, usuwające tę lukę - najprostszym sposobem na zaopatrzenie się w nie jest skorzystanie z mechanizmu WindowsUpdate.

Wiadomości e-mail, w których ukrywa się Mytob, mają zwykle sfałszowany adres nadawcy i jeden z poniższych tytułów:

- hello

- God day

- Error

- Status

- Mail Transaction Failed

- Mail Delivery System

- Server Report

Do wiadomości takiej załączony jest plik o nazwie: body, data, doc, document, file, message, readme, test lub text i rozszerzeniu: .bat, .cmd, .exe, .pif, .scr lub .zip.

Po uruchomieniu pliku uaktywnia się robak - kopiuje się na dysk i modyfikuje Rejestr tak by jego kopia uruchamiana była wraz z systemem Windows. Następnie Mytob łączy się z predefiniowanym kanałem IRC i oczekuje na polecenia od zdalnego użytkownika, który może za jego pośrednictwem m.in. kopiować na dysk zainfekowanego komputera dowolne pliki (i uruchamiać je), kasować pliki czy wykradać dane.

Później "szkodnik" rozsyła swoje kopie na wszystkie znalezione na dysku adresy e-mail. Ostatnim etapem jego działania jest zablokowanie dostępu do kilkudziesięciu stron WWW - głównie witryn producentów oprogramowania antywirusowego.

Aby usunąć z systemu Mytoba, należy uaktualnić program antywirusowy i przeprowadzić skanowanie wszystkich dysków. Jeśli aplikacja wykryje kopie robaka, należy je skasować.