Worm.Mytob.x代码
发布网友
发布时间:2024-10-01 15:16
共1个回答
热心网友
时间:2024-10-17 13:43
恶意代码Worm.Mytob.x通过一系列操作试图影响目标系统:
首先,它将自身复制到以下路径:C:\funny_pic.scr、C:\see_this!!.scr、C:\my_photo2005.scr和%system%\win32.exe。
接着,它释放到C:\hellmsn.exe,并试图执行。
为了保持隐蔽,Worm.Mytob.x修改了注册表,将键“WIN32=win32.exe”设置在以下位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices、HKEY_LOCAL_MACHINE\Software\Microsoft\OLE和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa。
此外,它创建了一个名为H-E-L-L-B-O-T的互斥量,以确保单个进程的运行。
恶意代码还对系统Host文件进行了修改,阻止了对包括TrendMicro、McAfee、Symantec等反病毒公司的访问。
修改后的Host文件阻止了如www.trendmicro.com、rads.mcafee.com等域名的连接。
Worm.Mytob.x还会搜索本地邮件地址,针对特定扩展名(如wab、pl、tbb等)的文件,并阻止发送带有特定名称或域名的邮件,以干扰正常通信。
邮件主题可能包含误导性信息,如'Guvf vf n zhygv-cneg zrffntr va ZVZR sbezng'等。
最后,恶意代码试图连接到IRC聊天服务器,等待黑客的远程控制指令,使计算机受到远程操控,可能包括下载并运行后门程序。
