• Mytob清除工具是一个小型但有效的工具,设计用来抹除任何痕迹Win32.Worm.Mytob.BY 病毒。

    这个病毒通过电子邮件、电子欺骗的发件人的地址,而是挤满了水电部的、可执行的文件压缩机。 一旦执行,蜗并如下:

    创造互斥,以便只有一个实例本身在运行的存储:H-3-1-1-B-0-T-3-F-1-X-3

    副本作为本身的系统%的留置权Van de Kelder.exe

    创建/修改如下注册键:

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun]"http://www.lienvandekelder.be"="%的系统%的留置权Van de Kelder.exe"

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservices]"http://www.lienvandekelder.be"="%的系统%\留置权Van de Kelder.exe"

    [HKEY_LOCAL_MACHINESystemCurrentControlsetservicessharedaccess]"开始"="4"

    开始收集电子邮件地址,寻找在文件夹"的临时互联网的文件",目前outlook电子邮件帐户文件,并从匹配的文件txt,htm、公司、jsp,cgi,xml,php、asp、dbx,tbb,亚洲开发银行、pl、wab在寻找驱C:Y:它避免了某些电子邮件地址,通过比较的地址与内部清单子.

    蜗使用其自己的SMTP引擎发送本身的收获的电子邮件地址,尝试使用默认的电子邮件帐户设置也到重建smtp server通过前添加以下字符串的收获的电子邮件域名称:大门。 邮件。 邮件1中。 mx. mx1的。 它的。 ns。 继电器。 smtp。

    防止/终止执行的许多与安全有关的产品(可执行文件)

    阻止访问若干安全有关的网站,通过修改该系统承载文件

    有后门能力(因诺琴蒂研究中心bot):连接到因诺琴蒂研究中心的服务器irc.blackcarder.net 和联接通道##hb3f1x3一旦连接,监听发布的命令通过一个可能的攻击者。 该命令可能允许攻击:下载/执行/更新文件(包括蠕虫本身)获得的信息有关的操作系统和计算机配置停止的蠕虫。

  • Mytob हटाने के उपकरण के एक छोटे लेकिन प्रभावी उपयोगिता के लिए बनाया गया मिटा के किसी भी ट्रेस Win32.Worm.Mytob.BY वायरस है ।

    इस वायरस से आता है, ई-मेल स्पूफिंग प्रेषक के पते, और साथ पैक किया जाता है म्याऊ, एक निष्पादन योग्य फ़ाइल कंप्रेसर. एक बार मार डाला, worm निम्न है:

    बनाता है mutex, है, के क्रम में केवल एक उदाहरण ही में चल रहा है स्मृति: H-3-1-1-बी-0-टी-3-एफ-1-X-3

    प्रतियां के रूप में खुद %प्रणाली%धारणाधिकार वैन डे Kelder.exe

    बनाता है/संशोधित निम्न रजिस्ट्री कुंजियाँ हैं:

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun] "http://www.lienvandekelder.be" = "%प्रणाली%धारणाधिकार वैन डे Kelder.exe"

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservices] "http://www.lienvandekelder.be" = "%प्रणाली%\धारणाधिकार वैन डे Kelder.exe"

    [HKEY_LOCAL_MACHINESystemCurrentControlsetservicessharedaccess] "प्रारंभ" = "4"

    शुरू होता है, फसल कटाई के ई-मेल पते, searchin फ़ोल्डर में "अस्थाई इंटरनेट फ़ाइलें", वर्तमान outlook ई-मेल खाते में फ़ाइलों, और फ़ाइलों से मिलान txt, एचटीएम, sht, jsp, cgi, एक्सएमएल, पीएचपी, एएसपी, dbx, tbb, एडीबी, पी एल, wab खोज में ड्राइव C: के लिए Y: यह से बचा जाता है, कुछ ई-मेल पतों की तुलना द्वारा, पते के साथ एक आंतरिक सूची के रूप में चिह्नित.

    कीड़ा का उपयोग करता है अपने स्वयं के SMTP इंजन भेजने के लिए करने के लिए ही काटा ईमेल पते, प्रयास का उपयोग करने के लिए डिफ़ॉल्ट ई-मेल खाता सेटिंग भी करने के लिए फिर से संगठित smtp सर्वर द्वारा prepending निम्नलिखित करने के लिए तार को काटा ईमेल के डोमेन नाम: गेट. मेल. mail1. एमएक्स. mx1. mxs. ns. रिले. smtp.

    रोकता है/समाप्त हो जाता है के निष्पादन के कई सुरक्षा से संबंधित उत्पादों (निष्पादनयोग्य)

    उपयोग ब्लॉक करने के लिए कई सुरक्षा से संबंधित साइटों को संशोधित करने से सिस्टम मेजबान फ़ाइल

    है backdoor क्षमताओं (आईआरसी बीओटी): जोड़ता है करने के लिए आईआरसी सर्वर irc.blackcarder.net और मिलती चैनल ##hb3f1x3 एक बार जुड़ा हुआ है, सुनता है, के लिए कमांड द्वारा जारी एक संभावित हमलावर है । आदेशों की अनुमति दे सकता हमलावर के लिए: डाउनलोड//निष्पादित फ़ाइलों को अद्यतन (सहित कीड़ा ही) के बारे में जानकारी हासिल ऑपरेटिंग सिस्टम और कंप्यूटर के कॉन्फ़िगरेशन बंद करो worm.

  • Mytob Removal Tool is a small but effective utility designed to erase any trace of the Win32.Worm.Mytob.BY virus.

    This virus comes by e-mail, spoofing the sender address, and is packed with MEW, an executable file compressor. Once executed, the worm does the following:

    Creates the mutex, in order to have only one instance of itself running in memory: H-3-1-1-B-0-T-3-F-1-X-3

    Copies itself as %SYSTEM%Lien Van de Kelder.exe

    Creates/modifies the following registry keys:

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "http://www.lienvandekelder.be" = "%SYSTEM%Lien Van de Kelder.exe"

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] "http://www.lienvandekelder.be" = "%SYSTEM%\Lien Van de Kelder.exe"

    [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSharedAccess] "Start" = "4"

    Starts harvesting e-mail addresses, searchin in folder "Temporary Internet Files", the current outlook e-mail account files, and from files matching txt, htm, sht, jsp, cgi, xml, php, asp, dbx, tbb, adb, pl, wab searching in drives C: to Y: it avoids certain e-mail addresses, by comparing the address with an internal list of substrings.

    The worm uses its own SMTP engine to send itself to the harvested email addresses, attempts to use the default e-mail account settings also to reconstruct the smtp server by prepending the following strings to the harvested email's domain names: gate. mail. mail1. mx. mx1. mxs. ns. relay. smtp.

    Prevents/terminates execution of many security related products (executables)

    Blocks access to several security related sites, by modifying the system HOSTS file

    Has backdoor capabilities (irc bot): Connects to the IRC server irc.blackcarder.net and joins channel ##hb3f1x3 Once connected, listens for commands issued by an possible attacker. The commands may allow the attacker to: download/execute/update files (including the worm itself) gain information about the operating system and computer configuration stop the worm.