Имя:Worm/Mytob.HD
Обнаружен:21/06/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:36.352 байт.
Контрольная сумма MD5:e63fb0b088390D874acc7f75daca4cc8
Версия VDF:6.31.00.90 - вторник, 21 июня 2005 г.
Версия IVDF:6.31.00.90 - вторник, 21 июня 2005 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Net-Worm.Win32.Mytob.bi
   •  Grisoft: I-Worm/Mytob.PX
   •  VirusBuster: I-Worm.Mytob.HP
   •  Eset: Win32/Mytob.GB
   •  Bitdefender: Win32.Worm.Mytob.DE


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Отключение приложений безопасности
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\smoc.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • WINDOWS SYSTEM="smoc.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • WINDOWS SYSTEM="smoc.exe"



Изменяется следующий ключ реестра:

Отключение Windows Firewall:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   Прежнее значение:
   • "Start"=dword:00000002
   Новое значение:
   • Start=dword:00000004

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Список возможных отправителей письма:
   • support
   • administrator
   • mail
   • service
   • admin
   • info
   • register
   • webmaster


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Одно из следующих:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated
   • %случайная
Описание добавил Ana Maria Niculescu в(о) среда, 17 октября 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 23 октября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.