Descrizione completa

Nome del virus:	Worm/Mytob.NC
Scoperto:	11/02/2006
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	34.370 Byte
Somma di controllo MD5:	21b53a54fafd4b98be3d7e5ddad2b759
Versione VDF:	6.33.00.221

Generale Metodo di propagazione:
   • Email

Alias:
   • Symantec: W32.Mytob.FI@mm
   • Mcafee: W32/Sdbot.worm.gen.bz
   • Kaspersky: Net-Worm.Win32.Mytob.bi
   • TrendMicro: WORM_MYTOB.OD
   • Bitdefender: Win32.Worm.Mytob.X.Gen

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Disattiva le applicazioni di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\winds.exe

Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MICROSOFT WINDOWS SYSTEM 2" = "winds.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "MICROSOFT WINDOWS SYSTEM 2" = "winds.exe"

Viene cambiata la seguente chiave di registro:

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start" = dword:%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start" = dword:00000004

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your password has been updated
   • Your password has been successfully updated
   • You have successfully updated your password
   • Your new account password is approved

Corpo dell'email:
– Contiene codice HTML.

Il corpo dell’email è come uno dei seguenti:

   • Hiya,
     Welcome and thank you for joining our community portal. As a paid customer you will receive all the extras as well as up-to-date feedbacks and monthly newsletters.
     NOTE: Your PAYMENT and LOGIN details are included within the attached file.
     Services we offer Create your Profile, connect to your friends, upload your picture, and have it Rated by thousands of other network members.
     Kind Regards Support Team
     ++ Attachment: No Virus Found File is (Clean)
     ++ %nome a dominio del ricevente dall'indirizzo email% Antivirus Software 2006 - www.%receiver's domain%

   • Dear Member,
     You recently asked us to reset your password by e-mail. TO RESET YOUR PASSWORD see the attached document.
     NOTE: Please do not reply to this message, Mail sent to this address cannot be answered.
     Thank you for using %nome a dominio del ricevente dall'indirizzo email% !
     The %nome a dominio del ricevente dall'indirizzo email% Support Team
     ++ Attachment: No Virus Found File is (Clean)
     ++ %nome a dominio del ricevente dall'indirizzo email% Antivirus Software 2006 - www.%receiver's domain%

   • Dear Member,
     Your account has been activated and awaiting your approval %indirizzo email del ricevente%.
     See attached document for payment details and login credentials.
     1. Paid members have 100% Download access, you can download unlimited MP3's and Software's for 6 Months!
     2. As a paid value member you have unlimited access to over 250,000 files
     3. Unlimited bandwith usage, there are no restrictions on the amount you download!
     See the details to activate your %nome a dominio del ricevente dall'indirizzo email% account today.
     Sincerely,The %nome a dominio del ricevente dall'indirizzo email% Support Team
     ++ Attachment: No Virus Found File is (Clean)
     ++ %nome a dominio del ricevente dall'indirizzo email% Antivirus Software 2006 - www.%receiver's domain%

   • Dear Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %nome a dominio del ricevente dall'indirizzo email% Support Team
     ++ Attachment: No Virus Found File is (Clean)
     ++ %nome a dominio del ricevente dall'indirizzo email% Antivirus Software 2006 - www.%receiver's domain%

File allegato:
Il nome del file allegato è uno dei seguenti:
   • readme.zip
   • document.zip
   • account-report.zip
   • account-info.zip
   • email-details.zip
   • account-details.zip
   • important-details.zip
   • accepted-password.zip
   • account-password.zip
   • approved-password.zip
   • password.zip
   • new-password.zip
   • email-password.zip
   • updated-password.zip
   • %stringa di caratteri casuale%.zip

L'allegato è un archivio che contiene una copia del malware stesso.

L'email può presentarsi come una delle seguenti:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • adb; asp; cgi; db; dbx; doc; htm; html; jsp; mdb; php; pl; sht; tbb;
      tmp; txt; wab; xls; xml

Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • abdul; aliya; adam; alan; alex; alisha; anjali; andrew; anna; bill;
      bob; brenda; brent; brian; claudia; dave; debby; frank; fred; george;
      halima; jack; james; jamila; jane; jimmy; john; jose; joshua; kevin;
      marcus; maria; mary; matt; michael; mike; mohammed; muhammed; peter;
      ray; rebecca; robert; sales; salina; sam; shakil; stan; steve; ted;
      tom

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help; iana;
      ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; kernel;
      linux; listserv; math; mit.e; mozilla; mydomai; nobody; nodomai;
      noone; not; nothing; ntivi; page; panda; pgp; postmaster; privacy;
      rating; rfc-ed; ripe.; root; ruslis; samples; secur; sendmail;
      service; site; soft; somebody; someone; sopho; submit; support; syma;
      tanford.e; the.bat; unix; usenet; utgers.ed; webmaster; www; you; your

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 66.122.24**********
Porta: 6667
Canale: #©ñ-hell®×ßö†#
Nickname: [Dark|Maynul]%stringa casuale di sei caratteri%
Password: sherubeta

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Memoria libera
    • Uptime del malware
    • Dimensione della memoria
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Aggiornarsi

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
      www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
      moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com

L'host del file modificato sarà del tipo:

Processi terminati Lista dei processi che vengono terminati:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; ACKWIN32.EXE; ADAWARE.EXE;
      ADVXDWIN.EXE; AGENTSVR.EXE; AGENTW.EXE; ALERTSVC.EXE; ALEVIR.EXE;
      ALOGSERV.EXE; AMON9X.EXE; ANTI-TROJAN.EXE; ANTIVIRUS.EXE; ANTS.EXE;
      APIMONITOR.EXE; APLICA32.EXE; APVXDWIN.EXE; ARR.EXE; ATCON.EXE;
      ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATUPDATER.EXE; ATWATCH.EXE;
      AU.EXE; AUPDATE.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTODOWN.EXE;
      AUTO-PROTECT.NAV80TRY.EXE; AUTOTRACE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AUTOUPDATE.EXE; AVCONSOL.EXE; AVE32.EXE; AVGCC32.EXE;
      AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE; AVGUARD.EXE;
      AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE; AVKWCTl9.EXE;
      AVLTMAIN.EXE; AVNT.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPDOS32.EXE;
      AVPM.EXE; AVPTC32.EXE; AVPUPD.EXE; AVPUPD.EXE; AVSCHED32.EXE;
      AVSYNMGR.EXE; AVWINNT.EXE; AVWUPD.EXE; AVWUPD32.EXE; AVWUPD32.EXE;
      AVWUPSRV.EXE; AVXMONITOR9X.EXE; AVXMONITORNT.EXE; AVXQUAR.EXE;
      AVXQUAR.EXE; BACKWEB.EXE; BARGAINS.EXE; BD_PROFESSIONAL.EXE;
      BEAGLE.EXE; BELT.EXE; BIDEF.EXE; BIDSERVER.EXE; BIPCP.EXE;
      BIPCPEVALSETUP.EXE; BISP.EXE; BLACKD.EXE; BLACKICE.EXE; BLSS.EXE;
      BOOTCONF.EXE; BOOTWARN.EXE; BORG2.EXE; BPC.EXE; BRASIL.EXE; BS120.EXE;
      BUNDLE.EXE; BVT.EXE; CCAPP.EXE; CCEVTMGR.EXE; CCPXYSVC.EXE; CDP.EXE;
      CFD.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE; CFIAUDIT.EXE;
      CFINET.EXE; CFINET32.EXE; CLAW95CF.EXE; CLEAN.EXE; CLEANER.EXE;
      CLEANER3.EXE; CLEANPC.EXE; CLICK.EXE; CMD.EXE; CMD32.EXE; CMESYS.EXE;
      CMGRDIAN.EXE; CMON016.EXE; CONNECTIONMONITOR.EXE; CPD.EXE;
      CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE; CWNB181.EXE;
      CWNTDWMO.EXE; DATEMANAGER.EXE; DCOMX.EXE; DEFALERT.EXE;
      DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE; DIVX.EXE; DLLCACHE.EXE;
      DLLREG.EXE; DOORS.EXE; DPF.EXE; DPFSETUP.EXE; DPPS2.EXE; DRWATSON.EXE;
      DRWEB32.EXE; DRWEBUPW.EXE; DSSAGENT.EXE; DVP95.EXE; DVP95_0.EXE;
      ECENGINE.EXE; EFPEADM.EXE; EMSW.EXE; ENT.EXE; ESAFE.EXE; ESCANHNT.EXE;
      ESCANV95.EXE; ESPWATCH.EXE; ETHEREAL.EXE; ETRUSTCIPE.EXE; EVPN.EXE;
      EXANTIVIRUS-CNET.EXE; EXE.AVXW.EXE; EXPERT.EXE; EXPLORE.EXE;
      FAMEH32.EXE; FAST.EXE; FCH32.EXE; FIH32.EXE; FINDVIRU.EXE;
      FIREWALL.EXE; FNRB32.EXE; FPROT.EXE; F-PROT.EXE; F-PROT95.EXE;
      FP-WIN.EXE; FP-WIN_TRIAL.EXE; FRW.EXE; FSAA.EXE; FSAV.EXE; FSAV32.EXE;
      FSAV530STBYB.EXE; FSAV530WTBYB.EXE; FSAV95.EXE; FSGK32.EXE; FSM32.EXE;
      FSMA32.EXE; FSMB32.EXE; F-STOPW.EXE; GATOR.EXE; GBMENU.EXE;
      GBPOLL.EXE; GENERICS.EXE; GMT.EXE; GUARD.EXE; GUARDDOG.EXE;
      HACKTRACERSETUP.EXE; HBINST.EXE; HBSRV.EXE; HOTACTIO.EXE;
      HOTPATCH.EXE; HTLOG.EXE; HTPATCH.EXE; HWPE.EXE; HXDL.EXE; HXIUL.EXE;
      IAMAPP.EXE; IAMSERV.EXE; IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE;
      ICLOADNT.EXE; ICMON.EXE; ICSUPP95.EXE; ICSUPPNT.EXE; IDLE.EXE;
      IEDLL.EXE; IEDRIVER.EXE; IEXPLORER.EXE; IFACE.EXE; IFW2000.EXE;
      INETLNFO.EXE; INFUS.EXE; INFWIN.EXE; INIT.EXE; INTDEL.EXE; INTREN.EXE;
      IOMON98.EXE; ISTSVC.EXE; JAMMER.EXE; JDBGMRG.EXE; JEDI.EXE;
      KAVLITE40ENG.EXE; KAVPERS40ENG.EXE; KAVPF.EXE; KAZZA.EXE;
      KEENVALUE.EXE; KERIO-PF-213-EN-WIN.EXE; KERIO-WRL-421-EN-WIN.EXE;
      KERIO-WRP-421-EN-WIN.EXE; KERNEL32.EXE; KILLPROCESSSETUP161.EXE;
      LAUNCHER.EXE; LDNETMON.EXE; LDPRO.EXE; LDPROMENU.EXE; LDSCAN.EXE;
      LNETINFO.EXE; LOADER.EXE; LOCALNET.EXE; LOCKDOWN.EXE;
      LOCKDOWN2000.EXE; LOOKOUT.EXE; LORDPE.EXE; LSETUP.EXE; LUALL.EXE;
      LUALL.EXE; LUAU.EXE; LUCOMSERVER.EXE; LUINIT.EXE; LUSPT.EXE;
      MAPISVC32.EXE; MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE; MCTOOL.EXE;
      MCUPDATE.EXE; MCUPDATE.EXE; MCVSRTE.EXE; MCVSSHLD.EXE; MD.EXE;
      MFIN32.EXE; MFW2EN.EXE; MFWENG3.02D30.EXE; MGAVRTCL.EXE; MGAVRTE.EXE;
      MGHTML.EXE; MGUI.EXE; MINILOG.EXE; MMOD.EXE; MONITOR.EXE; MOOLIVE.EXE;
      MOSTAT.EXE; MPFAGENT.EXE; MPFSERVICE.EXE; MPFTRAY.EXE; MRFLUX.EXE;
      MSAPP.EXE; MSBB.EXE; MSBLAST.EXE; MSCACHE.EXE; MSCCN32.EXE;
      MSCMAN.EXE; MSCONFIG.EXE; MSDM.EXE; MSDOS.EXE; MSIEXEC16.EXE;
      MSINFO32.EXE; MSLAUGH.EXE; MSMGT.EXE; MSMSGRI32.EXE; MSSMMC32.EXE;
      MSSYS.EXE; MSVXD.EXE; MU0311AD.EXE; MWATCH.EXE; N32SCANW.EXE; NAV.EXE;
      NAVAP.NAVAPSVC.EXE; NAVAPSVC.EXE; NAVAPW32.EXE; NAVDX.EXE;
      NAVLU32.EXE; NAVNT.EXE; NAVSTUB.EXE; NAVW32.EXE; NAVWNT.EXE;
      NC2000.EXE; NCINST4.EXE; NDD32.EXE; NEC.EXE; NEOMONITOR.EXE;
      NEOWATCHLOG.EXE; NETARMOR.EXE; NETD32.EXE; NETINFO.EXE; NETMON.EXE;
      NETSCANPRO.EXE; NETSPYHUNTER-1.2.EXE; NETSTAT.EXE; NETUTILS.EXE;
      NISSERV.EXE; NISUM.EXE; NMAIN.EXE; NOD32.EXE; NORMIST.EXE;
      NORTON_INTERNET_SECU_3.0_407.EXE; NOTSTART.EXE;
      NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE; NPROTECT.EXE;
      NPSCHECK.EXE; NPSSVC.EXE; NSCHED32.EXE; NSSYS32.EXE; NSTASK32.EXE;
      NSUPDATE.EXE; NT.EXE; NTRTSCAN.EXE; NTVDM.EXE; NTXconfig.EXE; NUI.EXE;
      NUPGRADE.EXE; NUPGRADE.EXE; NVARCH16.EXE; NVC95.EXE; NVSVC32.EXE;
      NWINST4.EXE; NWSERVICE.EXE; NWTOOL16.EXE; OLLYDBG.EXE; ONSRVR.EXE;
      OPTIMIZE.EXE; OSTRONET.EXE; OTFIX.EXE; OUTPOST.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; OUTPOSTPROINSTALL.EXE; PADMIN.EXE; PANIXK.EXE;
      PATCH.EXE; PAVCL.EXE; PAVPROXY.EXE; PAVSCHED.EXE; PAVW.EXE;
      PCFWALLICON.EXE; PCIP10117_0.EXE; PCSCAN.EXE; PDSETUP.EXE;
      PERISCOPE.EXE; PERSFW.EXE; PERSWF.EXE; PF2.EXE; PFWADMIN.EXE;
      PGMONITR.EXE; PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE; POPROXY.EXE;
      POPSCAN.EXE; PORTDETECTIVE.EXE; PORTMONITOR.EXE; POWERSCAN.EXE;
      PPINUPDT.EXE; PPTBC.EXE; PPVSTOP.EXE; PRIZESURFER.EXE; PRMT.EXE;
      PRMVR.EXE; PROCDUMP.EXE; PROCESSMONITOR.EXE; PROCEXPLORERV1.0.EXE;
      PROGRAMAUDITOR.EXE; PROPORT.EXE; PROTECTX.EXE; PSPF.EXE; PURGE.EXE;
      QCONSOLE.EXE; QSERVER.EXE; RAPAPP.EXE; RAV7.EXE; RAV7WIN.EXE;
      RAV8WIN32ENG.EXE; RAY.EXE; RB32.EXE; RCSYNC.EXE; REALMON.EXE;
      REGED.EXE; REGEDIT.EXE; REGEDT32.EXE; RESCUE.EXE; RESCUE32.EXE;
      RRGUARD.EXE; RSHELL.EXE; RTVSCAN.EXE; RTVSCN95.EXE; RULAUNCH.EXE;
      RUN32DLL.EXE; RUNDLL.EXE; RUNDLL16.EXE; RUXDLL32.EXE; SAFEWEB.EXE;
      SAHAGENT.EXE; SAVE.EXE; SAVENOW.EXE; SBSERV.EXE; SC.EXE; SCAM32.EXE;
      SCAN32.EXE; SCAN95.EXE; SCANPM.EXE; SCRSCAN.EXE;
      SETUP_FLOWPROTECTOR_US.EXE; SETUPVAMEEVAL.EXE; SFC.EXE; SGSSFW32.EXE;
      SH.EXE; SHELLSPYINSTALL.EXE; SHN.EXE; SHOWBEHIND.EXE; SMC.EXE;
      SMS.EXE; SMSS32.EXE; SOAP.EXE; SOFI.EXE; SPERM.EXE; SPF.EXE;
      SPHINX.EXE; SPOLER.EXE; SPOOLCV.EXE; SPOOLSV32.EXE; SPYXX.EXE;
      SREXE.EXE; SRNG.EXE; SS3EDIT.EXE; SSG_4104.EXE; SSGRATE.EXE; ST2.EXE;
      START.EXE; STCLOADER.EXE; SUPFTRL.EXE; SUPPORT.EXE; SUPPORTER5.EXE;
      SVC.EXE; SVCHOSTC.EXE; SVCHOSTS.EXE; SVSHOST.EXE; SWEEP95.EXE;
      SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE; SYMPROXYSVC.EXE; SYMTRAY.EXE;
      SYSEDIT.EXE; SYSTEM.EXE; SYSTEM32.EXE; SYSUPD.EXE; TASKMG.EXE;
      TASKMGR.EXE; TASKMO.EXE; TASKMON.EXE; TAUMON.EXE; TBSCAN.EXE; TC.EXE;
      TCA.EXE; TCM.EXE; TDS2-NT.EXE; TDS-3.EXE; TEEKIDS.EXE; TFAK.EXE;
      TFAK5.EXE; TGBOB.EXE; TITANIN.EXE; TITANINXP.EXE; TRACERT.EXE;
      TRICKLER.EXE; TRJSCAN.EXE; TRJSETUP.EXE; TROJANTRAP3.EXE; TSADBOT.EXE;
      TVMD.EXE; TVTMD.EXE; UNDOBOOT.EXE; UPDAT.EXE; UPDATE.EXE; UPDATE.EXE;
      UPGRAD.EXE; UTPOST.EXE; VBCMSERV.EXE; VBCONS.EXE; VBUST.EXE;
      VBWIN9X.EXE; VBWINNTW.EXE; VCSETUP.EXE; VET32.EXE; VET95.EXE;
      VETTRAY.EXE; VFSETUP.EXE; VIR-HELP.EXE; VIRUSMDPERSONALFIREWALL.EXE;
      VNLAN300.EXE; VNPC3000.EXE; VPC32.EXE; VPC42.EXE; VPFW30S.EXE;
      VPTRAY.EXE; VSCAN40.EXE; VSCENU6.02D30.EXE; VSCHED.EXE; VSECOMR.EXE;
      VSHWIN32.EXE; VSISETUP.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE;
      VSWIN9XE.EXE; VSWINNTSE.EXE; VSWINPERSE.EXE; W32DSM89.EXE; W9X.EXE;
      WATCHDOG.EXE; WEBDAV.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WHOSWATCHINGME.EXE; WIMMUN32.EXE; WIN32.EXE; WIN32US.EXE;
      WINACTIVE.EXE; WIN-BUGSFIX.EXE; WINDOW.EXE; WINDOWS.EXE; WININETD.EXE;
      WININIT.EXE; WININITX.EXE; WINLOGIN.EXE; WINMAIN.EXE; WINNET.EXE;
      WINPPR32.EXE; WINRECON.EXE; WINSERVN.EXE; WINSSK32.EXE; WINSTART.EXE;
      WINSTART001.EXE; WINTSK32.EXE; WINUPDATE.EXE; WKUFIND.EXE; WNAD.EXE;
      WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE; WUPDATER.EXE;
      WUPDT.EXE; WYVERNWORKSFIREWALL.EXE; XPF202EN.EXE; ZAPRO.EXE;
      ZAPSETUP3001.EXE; ZATUTOR.EXE; ZONALM2601.EXE; ZONEALARM.EXE

Varie Mutex:
Crea il seguente Mutex:
• H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• NSPack

Descrizione inserita da Daniel Constantin su giovedì 13 aprile 2006
Descrizione aggiornata da Andrei Gherman su giovedì 13 aprile 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti