Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Mytob.CH féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Mytob-BZ
|
AVG
|
I-Worm/Mytob.CY
|
Avira
|
Worm/Mytob.DD
|
BitDefender
|
Worm.Mytob.DAO
|
e-Trust
|
Win32/Mytob.CU
|
F-PROT
|
W32/Mytob.DI@mm
|
Fortinet
|
W32/MyTob.BT@mm
|
F-Secure
|
W32/Malware
|
Ikarus
|
Net-Worm.Win32.Mytob.BF
|
Kaspersky
|
Net-Worm.Win32.Mytob.bf
|
McAfee
|
W32/Mytob.gen@MM
|
NOD32 (ESET)
|
Win32/Mytob.CH
|
Microsoft
|
Worm:Win32/Mytob.BC@mm
|
Norton Antivirus
|
W32.Mydoom.BT@mm
|
Panda
|
W32/Mytob.DB.worm
|
Rising Antivirus
|
Worm.Mytob.dm
|
Sophos
|
W32/Mytob-AZ
|
Trend Micro
|
WORM_MYTOB.EK
|
VirusBuster
|
I-Worm.Mytob.CZ
|
Telepítés:
A Win32/Mytob.CH féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
a(z)
LienVandeKelder.exe
nevű fájlt.
A Win32/Mytob.CH féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "http://www.lienvandekelder.be"="LienVandeKelder.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "http://www.lienvandekelder.be"="LienVandeKelder.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "http://www.lienvandekelder.be"="LienVandeKelder.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "http://www.lienvandekelder.be"="LienVandeKelder.exe"
E-mail üzenetek
A Win32/Mytob.CH féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Tárgy |
A levél lehetséges tárgyai:
- Maxima ScrenSaver
- Critical Mailing Error: mail returned
- Maxima ScrenSaver
- Critical Mailing Error: mail returned
|
Melléklet |
A féreg
által elküldött e-mail melléklete többféle lehet. A lehetőségek az alábbiak:
Lehet a féreg
által elküldött e-mail mellékletének neve az alábbiak egyike:
- document_full
- email-doc
- email-info
- email-text
- IMPORTANT
- info-text
- information
- your_details
-
vissza...
Összeállíthatja a féreg
által elküldött e-mail mellékletének nevét véletlenszerű karakterekből.
A féreg
által elküldött e-mail mellékletének kiterjesztése lehet:
|
|
Támadás az interneten
A féreg
módosítja a host fájlt, ezáltal az alábbi webcímek elérhetetlenné válnak:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
-
teljes lista...
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.grisoft.com
- www.kaspersky.com
- www.mcafee.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
-
vissza...
Hátsóajtó
Az alábbi fájlokat tölti le a webről a háttérben:
- http://tickets.ti.funpic.org/LienVandeKelder.exe
- http://tickets.ti.funpic.org/main.html
- http://tickets.ti.funpic.org/LienVandeKelder.exe
- http://tickets.ti.funpic.org/main.html