image

Al meer dan 100 versies Mytob-worm

woensdag 1 juni 2005, 14:35 door Redactie, 7 reacties

De auteur van de Mytob-worm heeft het er maar druk mee, want sinds de ontdekking 90 dagen geleden, is er een record aantal varianten van 117 stuks ontdekt. MYTOB.BI is de vierde variant met een alert-status, en de tweede deze week. MYTOB is 27 februari 2005 ontdekt. Sindsdien heeft de worm ruim 65.000 systemen wereldwijd geïnfecteerd. Trend Micro verwacht dat het aantal varianten nog sterk zal groeien, en waarschuwt bedrijven, thuiswerkers en consumenten afdoende beschermingsmaatregelen te nemen.

WORM_MYTOB-varianten doen zich voor als een bericht van IT-beheerders om ontvangers te verleiden een bijlage te openen, een vorm van Social Engineering. De gebruiker denkt dat het e-mail-bericht gaat over het opheffen van zijn of haar e-mail-account. MYTOB-varianten onderscheiden zich in bestandsnamen en IRC-servers (Internet Chat Relay) en -kanalen. IRC is de mogelijkheid om met meerdere mensen tegelijkertijd via internet te discussiëren.

Andere kenmerken van de WORM_MYTOB-familie:
- WORM_MYTOB kent het grootste aantal varianten dit jaar.
- Ondanks het recordaantal varianten is de hoeveelheid geïnfecteerde systemen relatief laag; iets meer dan 65.000. Dit is lager dan het aantal HTML_NETSKY.P-infecties in de afgelopen 30 dagen.
- De populariteit van de MYTOB-broncode groeit omdat deze worm in vergelijking met andere broncodes relatief eenvoudig is te implementeren. Een virusschrijver met weinig kennis of skills hoeft alleen maar enkele bestanden of registraties te veranderen of toe te voegen om een geheel nieuwe variant te creëren. Eerder deze week bleek dit uit WORM_MYTOB.AR, die spyware en addware omvat. Hiermee is de weg vrijgemaakt voor toekomstige varianten die worden gebruikt voor financieel gewin.
- Jaime Lyndon 'Jamz' A. Yaneza, Senior AC Research Engineer bij Trend Micro, verwacht dat het aantal MYTOB-varianten sterk zal toenemen doordat minder bedreven programmeurs (script kiddies) de code kunnen knippen en plakken. "De MYTOB-varianten gebruiken een redelijk eenvoudige methode om detectie te vermijden", zegt Yaneza, refererend aan de drie compressiealgoritmes die MYTOB-varianten gebruiken. "Dit verklaart waarom zoveel varianten zijn opgedoken, terwijl het aantal infecties achterblijft."
- Yaneza voegt toe dat het karakter van MYTOB waarschijnlijk de toekomst zal bepalen. De meeste infecties die tegenwoordig opduiken, zijn niet het resultaat van nieuw geschreven malware, maar van herschreven, bestaande malware. "De data die we in de afgelopen maanden hebben verzameld, laat weinig verband zien tussen het aantal nieuw ontdekte malware en het aantal infecties", verklaart Yaneza. "Dit is niet anders dan bij BAGLE, NETSKY en MYDOOM. Het probleem is echter groter vanwege het grote verspreidingsgevaar."
- De code voor MYTOB is een combinatie van MYDOOM- en BOT-source - die effectief gebruik maakt van dezelfde exploit-code. In plaats van één enkel algoritme voor bestandscompressie gebruikt MYTOB een combinatie van drie verschillende algoritmes (waaronder de nieuwe compressors/codebeschermers Yoda Protector 1.4 en Pencrypt 4.0, en het relatief bekende UPX-compressiealgoritme). Hiermee wordt geprobeerd scanners te vermijden.

Reacties (7)
01-06-2005, 15:16 door Anoniem
ik heb die hellbot source hierzo
damn over al te vinden
01-06-2005, 15:58 door G-Force
Door Anoniem
ik heb die hellbot source hierzo
damn over al te vinden

Nederlandse taal.....? Of een cryptische omschrijving van het Maleis?
01-06-2005, 16:46 door Anoniem
Ik kreeg vandaag ook een mailtje van [email]support@home.nl[/email] met
information.zip eraan en deze text: "We attached some
important information regarding your account." Dus ikke het
zipje geunzipped, zit er "information.doc
.exe" in.

Dat probeerde ik vervolgens te runnen, maar er gebeurde niets...

-Gentoo rocks-
01-06-2005, 19:12 door Anoniem
Door Harold Aling
Ik kreeg vandaag ook een mailtje van [email]support@home.nl[/email] met
information.zip eraan en deze text: "We attached some
important information regarding your account." Dus ikke het
zipje geunzipped, zit er "information.doc
.exe" in.

Dat probeerde ik vervolgens te runnen, maar er gebeurde niets...

-Gentoo rocks-
huh?
01-06-2005, 20:00 door Anoniem
en hij heeft dus een virus :p
01-06-2005, 20:37 door Anoniem
ik snap het niet . .ik heb 3 veelgebruikte mailaccounts. .
en ik krijg NOOIT spam en NOOIT virussen. . .waarom de rest
van de wereld wel ???
02-06-2005, 16:49 door Anoniem
Door Harold Aling
Ik kreeg vandaag ook een mailtje van [email]support@home.nl[/email] met
information.zip eraan en deze text: "We attached some
important information regarding your account." Dus ikke het
zipje geunzipped, zit er "information.doc
.exe" in.

Dat probeerde ik vervolgens te runnen, maar er gebeurde niets...

-Gentoo rocks-
Als de heer Aling het onder Gentoo probeert te runnen zal er inderdaad niet
veel gebeuren, aangezien het hier meen ik toch om een Windows-based
virus gaat. In dat geval is de post best grappig. Is meneer echter een
Windowsgebruiker, dan moet je wel ongelooflijk [-censored-] zijn om
een .doc.exe te gaan runnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.