Mytob.NT3 29.06.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob.NT3 ist zurzeit wieder unterwegs und lockt unter anderem mit angeblichen Bankdokumenten im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen von einer Bank präsentiert,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – eine der folgenden:
• hello
• Error
• Status
• Good day
• SERVER REPORT
• Mail Transaction Failed
• Mail Delivery System
Manchmal kann die Betreffzeile auch leer sein.
Des Weiteren kann die Betreffzeile zufällige Zeichen enthalten.

Dateianhang – beginnt mit einer der folgenden:
• doc
• file
• text
• data
• body
• readme
• message
• document
• %zufällige Buchstabenkombination%

Die Dateierweiterung ist eine der folgenden:
• .zip
• .scr
• .pif
• .bat
• .exe
• .cmd

Größe des Dateianhangs: 58.368 Bytes.

E-Mail-Text:
• Here are your banks documents.
• Mail transaction failed. Partial message is available.
• The message contains Unicode characters and has been sent as a binary attachment.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The original message was included as an attachment.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\rnathchk.exe
• c:\pic.scr
• c:\see_this!.pif
• c:\my_picture.scr

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!