Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Mytob.CK féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Mytob-CC
|
AVG
|
I-Worm/Mytob.DD
|
BitDefender
|
Win32.Worm.Mytob.AX
|
e-Trust
|
Win32/Mytob.CW
|
F-PROT
|
W32/Mytob.DI@mm
|
F-Secure
|
Net-Worm.Win32.Mytob.as
|
Ikarus
|
Net-Worm.Win32.Mytob.AS
|
Kaspersky
|
Net-Worm.Win32.Mytob.as
|
McAfee
|
W32/Mytob.gen@MM(Virus)
|
Microsoft
|
Win32/Mytob.BE@mm
|
NOD32 (ESET)
|
Win32/Mytob.CK
|
Norton Antivirus
|
W32.Mytob.CE@mm
|
Panda
|
W32/Mytob.DB.worm
|
Rising Antivirus
|
Worm.Mytob.dn
|
Sophos
|
W32/Mytob-AY
|
Trend Micro
|
WORM_MYTOB.EQ
|
VirusBuster
|
I-Worm.Mytob.DE
|
Telepítés:
|
A Win32/Mytob.CK féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
a(z)
winupd32.exe
nevű fájlt.
|
|
A Win32/Mytob.CK féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Updates"="winupd32.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Updates"="winupd32.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Updates"="winupd32.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Updates"="winupd32.exe"
|
A Win32/Mytob.CK féreg
H-e-l-l-B-o-t-3!!!
néven hoz létre mutexet.
A Win32/Mytob.CK féreg
leállítja az alábbi folyamatokat:
- CMD.EXE
- MSCONFIG.EXE
- NAVAPW32.EXE
- NAVW32.EXE
- NETSTAT.EXE
- PANDAAVENGINE.EXE
- REGEDIT.EXE
- TASKMGR.EXE
- WINCFG32.EXE
- ZAPRO.EXE
- ZONEALARM.EXE
-
vissza...
E-mail üzenetek
A Win32/Mytob.CK féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Mytob.CK féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
A Win32/Mytob.CK féreg
a(z)
[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]
regisztrációs bejegyzést használja az email címek kereséséhez.
|
Az összeállított e-mail üzenetek felépítése az alábbi:
|
Támadás az interneten
A féreg
módosítja a host fájlt, ezáltal az alábbi webcímek elérhetetlenné válnak:
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
-
teljes lista...
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.grisoft.com
- www.kaspersky.com
- www.mcafee.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
-
vissza...
Hátsóajtó
A Win32/Mytob.CK féreg
véletlenszerűen kiválasztott portokon nyit hátsóajtót.
A Win32/Mytob.CK féreg
a(z) irc.blackcarder.net IRC szerverhez és a(z) #helltest2 csatornához csatlakozik.
Egyebek
A Win32/Mytob.CK féreg
programkódjában szereplő, de soha meg nem jelenő szöveg(ek):
-=Copyright (C) 2005-2006 HellBot3 Team All Rights Reserved.=-