Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Mytob.AF.1 féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Mytob-AD
|
AVG
|
I-Worm/Mytob.AF
|
BitDefender
|
Win32.Worm.Mytob.W
|
e-Trust
|
Win32/Mytob.AH
|
F-PROT
|
W32/Mytob.AN@mm
|
F-Secure
|
Net-Worm.Win32.Mytob.w
|
Ikarus
|
Backdoor.Win32.Rbot
|
Kaspersky
|
Net-Worm.Win32.Mytob.w
|
McAfee
|
W32/Mytob.gen@MM(Virus)
|
Microsoft
|
Win32/Mytob.Z@mm
|
NOD32 (ESET)
|
Win32/Mytob.AF
|
Norton Antivirus
|
W32.Mytob.AM@mm
|
Panda
|
W32/Mytob.AE.worm
|
Rising Antivirus
|
Worm.Mytob.al
|
Sophos
|
W32/Mytob-Y
|
Trend Micro
|
WORM_MYTOB.AI
|
VirusBuster
|
I-Worm.Mytob.AK
|
Telepítés:
|
A féreg
az alábbi fájlokat hozza létre:
A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32):
- XpFirewall.exe
- 2pac.txt
- bingoo.exe
- XpFirewall.exe
- 2pac.txt
- bingoo.exe
A merevlemez(ek) főkönyvtárában:
- funny_pic.scr
- hellmsn.exe
- my_photo2005.scr
- see_this!!.scr
- funny_pic.scr
- hellmsn.exe
- my_photo2005.scr
- see_this!!.scr
|
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
A Win32/Mytob.AF.1 féreg
H-E-L-L-B-O-T
néven hoz létre mutexet.
A Win32/Mytob.AF.1 féreg
a megtámadott gépen FTP szervert indít.
E-mail üzenetek
A Win32/Mytob.AF.1 féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Mytob.AF.1 féreg
a(z)
Temporary Internet Files
mappában keres e-mail címeket.
A Win32/Mytob.AF.1 féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
A Win32/Mytob.AF.1 féreg
az üzenetek elküldéséhez használt SMTP szerverek kereséséhez az aktuális domain elé illesztett alábbi előtagokkal próbálkozik:
- gate.
- ns.
- relay.
- mail1.
- mxs.
- mx1.
- smtp.
- mail.
- mx.
-
vissza...
A féreg
a
[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]
regisztrációs adatbázis bejegyzést használja SMTP szerver kereséséhez.
|
Az összeállított e-mail üzenetek felépítése az alábbi:
|
Támadás az interneten
A féreg
módosítja a host fájlt, ezáltal az alábbi webcímek elérhetetlenné válnak:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
-
teljes lista...
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.grisoft.com
- www.kaspersky.com
- www.mcafee.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
-
vissza...
Hátsóajtó
A Win32/Mytob.AF.1 féreg
véletlenszerűen kiválasztott TCP portokon nyit hátsóajtót.
A Win32/Mytob.AF.1 féreg
a(z) 213.115.201.145 IRC szerverhez és a(z) ##hell## csatornához csatlakozik.