Veszélyes hátsóajtó-komponenst is tartalmaz a Mytob.MX féregvírus

[HWSW] A Trend Micro közepes szintű riasztást adott ki a Mytob féreg egy új variánsa, a Mytom.MX miatt. Ez a memóriarezidens féreg e-mailben csatolt fájlként másolatokat küld önmagáról a címzetteknek saját SMTP motorján keresztül. A féreg e-mail címeket gyűjt az internetes fájlok ideiglenes mappájából, meghatározott kiterjesztésű fájlokból, és a felhasználó Windows címjegyzékéből is. A fertőzött e-mailek címzettjei azt látják, hogy ismert forrásból származó üzenetet kaptak, így legtöbbször gondolkodás nélkül indítják el a csatolt állományt, bár Magyarországon ez valószínűleg nem jellemző, hiszen a fertőző levelek nyelve nem magyar, ami eleve gyanút kelthet.

A Mytob.MX a hálózati megosztásokon keresztül is terjed: megkeresi az elérhető megosztott mappákat a hálózaton, és megkísérli saját másolatát elhelyezni ezeken a megosztásokon. Emellett véletlenszerű IP-címeket generál, és saját másolatait a további generált címeken található megosztásokon is elhelyezi. A jelszó által védett megosztásokhoz a jelenleg bejelentkezett felhasználó fiókadatait használja.

A féreg hátsó ajtók megnyitására is képes. Más-más portokat használva csatlakozik egy Internet Relay Chat (IRC) szerverre, és bejelentkezik egy bizonyos IRC csatornára, ahol parancsokra vár egy távoli felhasználótól. Az említett rutin a távoli felhasználók számára virtuális hozzáférést biztosít az érintett rendszerekhez, így veszélyezteti a rendszerbiztonságot. A féreg elindíthat egy véletlenszerű portot használó File Transfer Protocol (FTP) szervert is. Miután a számítógép FTP szerverré változik, a távoli támadó a felhasználó tudta és beleegyezése nélkül anyagokat tölthet le és tölthet fel az érintett rendszeren.