Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Pour s'exécuter à l'ouverture d'une session, Mytob-AH se copie dans le fichier "hostdrvXP.exe" du répertoire %System% et crée dans le registre les entrées suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINTASKMANAGER
hostdrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINTASKMANAGER
hostdrvXP.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WINTASKMANAGER
hostdrvXP.exe
HKLM\Software\Microsoft\OLE
WINTASKMANAGER
hostdrvXP.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASKMANAGER
hostdrvXP.exe
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WINTASKMANAGER
hostdrvXP.exe
HKCU\Software\Microsoft\OLE
WINTASKMANAGER
hostdrvXP.exe
Le courriel envoyé par Mytob-AH a les propriétés suivantes :
Objet (choisi parmi l'un des suivants):
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
{texte aléatoire}
Corps du message (choisi parmi l'un des suivants):
Here are your banks documents.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The original message was included as an attachment.
The message contains Unicode characters and has been sent as a binary
attachment.
Mail transaction failed. Partial message is available.
Nom de la pièce jointe (choisi parmi l'un des suivants):
document
readme
doc
text
file
data
test
message
body
{texte aléatoire}
Extension de la pièce jointe (choisie parmi l'une des suivantes):
pif
scr
exe
cmd
bat
Le fichier joint peut avoir une double extension.
Le ver injecte aussi le fichier hellmsn.exe dans le dossier C:\ et se copie dans le dossier C:\ sous les noms de fichiers suivants :
funny_pic.scr
my_photo2005.scr
see_this!!.scr
Le fichier "hellmsn.exe" étant détecté sous le nom de "Mytob-D".