基本介紹
- 中文名:Worm.Mytob.c
- 病毒別名:Net-Worm.Win32.Mytob.c[AVP]
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
- 性質:電腦病毒
簡介,特性,
簡介
威脅級別:★★
特性
該病毒會從Windows的地址薄和某些特定檔案中收集郵件地址,並將病毒傳送給這些郵件接收者。在收集郵件地址的過程中,病毒會跳過帶有某些特定字元串的地址,防止自己被安全廠商截獲。此外,該病毒還會通過TCP 6667連線埠連線到irc.blackcarder的一個IRC頻道等待接收黑客傳送來的命令來進行下一步破壞動作。
1)將自己拷貝到%System%\wfdmgr.exe
2)將“LSA="wfdmgr.exe"”添加到下列註冊表中以便實現病毒的開機自啟動:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3)通過TCP 6667連線埠連線到irc.blackcarder上的一個IRC頻道等待接收黑客傳送來的命令來進行下一步破壞動作
4)在下列擴展名的檔案中收集郵件地址:
.wab .adb .tbb .dbx .asp .php .sht .htm
5)跳過帶有下列串的郵件地址
-._! ,-._!@,.edu ,.gov ,.mil ,abuse ,accoun ,acketst ,admin ,anyone ,arin. ,avp ,be_loyal: ,berkeley ,borlan
bsd ,bugs ,ca ,certific ,contact ,example ,fcnz feste ,fido ,foo. ,fsf. ,gnu ,gold-certs ,google ,gov. ,help ,hotmail
iana ,ibm,icrosof ,icrosoft ,ietf ,info ,inpris ,isc.o ,isi.e ,kernel ,linux ,listserv ,math ,me ,mit.e ,mozilla ,msn.
mydomai ,no ,nobody ,nodomai ,noone ,not ,nothing ,ntivi ,page ,panda ,pgp ,postmaster ,privacy ,rating ,rfc-ed
ripe. ,root ,ruslis ,samples ,secur ,sendmail ,service ,site ,soft ,somebody ,someone ,sopho ,spm ,submit ,support
syma ,tanford.e ,the.bat ,unix ,usenet ,utgers.ed ,webmaster ,www ,you ,your
6)將下列的某個名字添加收集來的域名前面構成郵件地址
adam ,alex ,alice ,andrew ,anna ,bill ,bob ,brenda ,brent ,brian ,claudia ,dan ,dave ,david ,debby ,fred ,george
helen ,jack ,james ,jane ,jerry ,jim ,jimmy ,joe ,john ,jose ,julie ,kevin ,leo ,linda ,maria ,mary ,matt ,michael
mike ,peter ,ray ,robert ,sam ,sandra ,serg ,smith ,stan ,steve ,ted ,tom
7)將下列前綴加到域名前面以便找到簡單的SMTP伺服器
gate. ,ns. ,relay. ,mail1. ,mxs. ,mx1. ,smtp. ,mail. ,mx.
8)郵件:
可能的主題:
hello
hi
error
status
test
Mail Transaction Failed
Mail Delivery System
SERVER REPORT
【沒有主題】
【隨機的字母】
可能的正文:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
test
The message contains Unicode characters and has been sent as a binary attachment.
【沒有正文】
【隨機的數據】
可能的附屬檔案名:
body
data
doc
document
file
message
readme
test
text
【隨機字母】
可能的附屬檔案擴展名
.bat
.cmd
.exe
.pif
.scr
.zip
如果附屬檔案是.zip檔案的話,該蠕蟲的副本會有第2擴展名,可能是
.doc
.txt
.htm
.html
