Kaspersky Threats — Net-Worm.Win32.Mytob.x

Třída: Net-Worm

Net-Worms se šíří prostřednictvím počítačových sítí. Rozlišujícím znakem tohoto typu červa je, že nevyžaduje akci uživatele, aby se rozšířil.

Tento typ červa obvykle vyhledává kritické chyby v softwaru běžícím v síťových počítačích. Za účelem napadnutí počítačů v síti posílá červ speciálně vytvořený síťový paket (nazývaný exploit) a v důsledku toho se červový kód (nebo část kódu škůdce) proniká do počítače oběti a aktivuje se. Někdy síťový paket obsahuje pouze část červového kódu, který bude stahovat a spouštět soubor obsahující hlavní modul červů. Někteří síťoví červi používají několik zneužívání současně k šíření, čímž zvyšují rychlost, s jakou se oběti nacházejí.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Family: Net-Worm.Win32.Mytob

No family description

Examples

C466BBA8461F4F46E06A40C346E9C5A5
D74359A386AB42DDB0218E59565D3F89
1E3F16B4485F71FD15F8A3C22CCDD78E
5C30FFBB9F31013D857884A9D281518E
9C78607BE53D0FB1467506C976656270

Tactics and Techniques: Mitre*

TA0002

Execution

The adversary is trying to run malicious code. Execution consists of techniques that result in adversary-controlled code running on a local or remote system. Techniques that run malicious code are often paired with techniques from all other tactics to achieve broader goals, like exploring a network or stealing data. For example, an adversary might use a remote access tool to run a PowerShell script that does Remote System Discovery.

T1204.002

Malicious File

An adversary may rely upon a user opening a malicious file in order to gain execution. Users may be subjected to social engineering to get them to open a file that will lead to code execution. This user action will typically be observed as follow-on behavior from Spearphishing Attachment. Adversaries may use several types of files that require a user to execute them, including .doc, .pdf, .xls, .rtf, .scr, .exe, .lnk, .pif, .cpl, and .reg.

TA0005

Defense Evasion

The adversary is trying to avoid being detected.

Defense Evasion consists of techniques that adversaries use to avoid detection throughout their compromise. Techniques used for defense evasion include uninstalling/disabling security software or obfuscating/encrypting data and scripts. Adversaries also leverage and abuse trusted processes to hide and masquerade their malware. Other tactics’ techniques are cross-listed here when those techniques include the added benefit of subverting defenses.

T1036

Masquerading

Adversaries may attempt to manipulate features of their artifacts to make them appear legitimate or benign to users and/or security tools. Masquerading occurs when the name or location of an object, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. This may include manipulating file metadata, tricking users into misidentifying the file type, and giving legitimate task or service names.

Renaming abusable system utilities to evade security monitoring is also a form of Masquerading.(Citation: LOLBAS Main Site) Masquerading may also include the use of Proxy or VPNs to disguise IP addresses, which can allow adversaries to blend in with normal network traffic and bypass conditional access policies or anti-abuse protections.