Имя:Worm/Mytob.EU.1
Обнаружен:10/07/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:61.440 байт.
Контрольная сумма MD5:7f190C5c0271904bdf0D26ccec0B3b53
Версия VDF:6.35.00.142

 Общее Метод распространения:
   • Email


Псевдоним (alias):
   •  Kaspersky: Net-Worm.Win32.Mytob.eu


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок


После запуска выдается следующая информация:

Картинка была отредактирована для улучшения отображения.

 Файлы Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\tmp%Шестнадцатиричное число%.tmp

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Одно из следующих:
   • Error
   • Hello
   • Hi
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status
   • Test

Тема письма может содержать случайные знаки.


Тело:
–  В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

–  Начинается одним из следующих:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %случайная буквенная комбинация%

    Имеет одно из следующих фальшивых расширений файлов:
   • zip
   • bat
   • cmd
   • exe
   • pif
   • scr

Прикрепленный файл является копией вредоносной программы:

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо могло бы выглядеть следующим образом:




 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab; adb; tbb; dbx; php; sht; htm; txt; tmp; pl; asp


Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; fred; george; helen; jack; james; jane;
      jerry; jim; jimmy; joe; john; jose; julie; kevin; leo; linda; maria;
      mary; matt; michael; mike; peter; ray; robert; sam; sandra; serg;
      smith; stan; steve; ted; tom; %случайная
      
Описание добавил Daniel Constantin в(о) среда, 9 августа 2006 г.
Описание обновил Daniel Constantin в(о) среда, 9 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.