病毒名称(中文):
病毒别名:
Net-Worm.Win32.Mytob.c[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
48766
影响系统:
Win9xWinNT
病毒行为:
这是一个通过电子邮件传播的蠕虫病毒。该病毒会从Windows的地址薄和某些特定文件中收集邮件地址,并将病毒发送给这些邮件接收者。在收集邮件地址的过程中,病毒会跳过带有某些特定字符串的地址,防止自己被安全厂商截获。此外,该病毒还会通过TCP6667端口连接到irc.blackcarder.net的一个IRC频道等待接收黑客发送来的命令来进行下一步破坏动作。
1)将自己拷贝到%System%\wfdmgr.exe
2)将“LSA="wfdmgr.exe"”添加到下列注册表中以便实现病毒的开机自启动:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3)通过TCP6667端口连接到irc.blackcarder.net上的一个IRC频道等待接收黑客发送来的命令来进行下一步破坏动作
4)在下列扩展名的文件中收集邮件地址:
.wab
.adb
.tbb
.dbx
.asp
.php
.sht
.htm
5)跳过带有下列串的邮件地址
-._!
-._!@
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
ca
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your
6)将下列的某个名字添加收集来的域名前面构成邮件地址
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
7)将下列前缀加到域名前面以便找到简单的SMTP服务器
gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.
8)邮件:
可能的主题:
hello
hi
error
status
test
MailTransactionFailed
MailDeliverySystem
SERVERREPORT
[没有主题]
[随机的字母]
可能的正文:
Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment.
Mailtransactionfailed.Partialmessageisavailable.
test
ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment.
[没有正文]
[随机的数据]
可能的附件名:
body
data
doc
document
file
message
readme
test
text
[随机字母]
可能的附件扩展名
.bat
.cmd
.exe
.pif
.scr
.zip
假如附件是.zip文件的话,该蠕虫的副本会有第2扩展名,可能是
.doc
.txt
.htm
.html