THEMEN

AntiVirus

W32.Mytob.QA - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Mytob.QA  W32.Mytob.QA  Backdoor-Wurm
Schaden Entdeckt Ermittelt
 Mittel  23.10.2006  23.10.2006
Größe Verbreitung Noch unterwegs
   gering  Ja
Andere Namen
 Mytob Familie
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Der Schädling Mytob.QA ist ein Wurm mit Backdoorfunktionen, welche versuchen sich mit einem IRC-Server zu verbinden. Besteht diese Verbindung einmal mit dem IRC-Server, so erlaubt es dem Angreifer den infizierten Computer zui übernehmen mit Administrator-Rechten.
Weiterhin hat Mytob.QA die Eigenschaft, dass er versucht die "üblichen Verdächtigen" Sicherheitsprogramme (Antivirensoftware, Firewalls & co.) zu deaktivieren.

Mytob.QA verbreitet sich via eMail mit dem Mailhinweis "Wichtig". Das soll heissen, dass diesejenigen eMails als "Wichtig" gekennzeichnet sind.
Ansonsten ist Mytob.QA relativ einfach zu erkennen, da diese eMails mit folgendem Betreff ankommen:

eMail-Betreff:
Account Alert!
eMail-Anhang:
ATT0000XX .HTML
wobei die beiden XX für eine variabele Nummer/Ziffer steht.

Technische Beschreibung:

Mytob.QA verbindet sich mit einem IRC-Server und erwartet dort seine Befehle von dem Angreifer. Diese Verbindung erlaubt es dem Angreifer den infizierten Rechner zu übernehmen.
Mytob.QA beendet folgende Sicherheitsapplikationen, in welchen diese Namen vorkommen:

Macfee
nod32
Norman
panda
sophos
antivir
avast
avg
avira
bitdefender
clamav
drweb
etrust
ewido
f-prot
ikarus
kaspersky
Symantec und noch einige weitere.

Mytob.QA generiert die Datei winemail.exe im Windows Unterordner System32. Diese Datei ist eine Kopie dieses Wurms.
Desweiteren generiert Mytob.QA die folgenden Einträge in der Windows-Registry:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Email = winemail.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Windows Email = winemail.exe

Bei diesen Einträgen in der Windows Registry stellt Mytob.QA sicher, dass er jedesmal, wenn Windows geladen wird, auch Mytob.QA geladen wird:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{07B4ED451FFFFFFFF} = 5B, 3E, 93, 0F, EF, 81, A6, A0, 7B, 07, B5, B9, 3A, B1, 48, A1, D9, 3A, B0, 6F, D4, B4, 20, AA, 9D, E2, 09, 9B, 1F, B1, 52, 3D, 7E, E3, 03, 23, 4F, DC, 6A, 78, D1, A2, 20, 5A, 56, E6, 50, 78, 41, F5, 9A, 4E, E1, 84, 84, A7, 66, 36, 4C, 7A, A4, 2D, 95, 1A, 31, 9D, 0B, 76, 2A, BD, D1, 2D, 8E, 14, 02, A8, 7C, 5D, 71, 8F, 01, 0E, EC, A3, E1, BA, B5, F5, 78, A7, 49, B0, CC, CA, 59, 9B, DD, 94, 06, 94, DA, 65, D5, 6E, E5, 21, 5A, 17, 7C, FC, 3D, 24, B5, D7, 48, 6F, A8, 6C, 6B, 69, E6, 8D, CA, 3E, 92, C5, 1B, AA, F2, C3, 0F
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{I7B4ED451FFFFFFFF} = 06, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{K7C0DB872A3F777C0} = hexadecimal data
HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses
{R7C0DB872A3F777C0} = J}L
HKEY_CLASSES_ROOT\ CLSID\ {7B4ED451-7B4E-D451-7B4E-D4517B4ED451}

Means of transmission

Mytob.QA wird über eMail versendet und hat die Eigenart, dass er von Mailabsendern verschickt wird, die Sie in Ihrem Adressbuch haben. Das soll bedeuten, dass dieser Schädling vorgaukelt eine richtige Mail von einem Ihrer Freunde/Bekannten zu sein, den Sie in Ihrem eMail-Adressbuch haben.

eMail-Betreff:
Account Alert!
eMail-Anhang:
ATT0000XX .HTML
wobei die beiden XX für eine variabele Nummer/Ziffer steht.

Wenn der Mailanhang geöffnet wird, dann sehen Sie diese Nachricht:

Dear Valued Member,

According to our terms of services, you will have to confirm your e-mail by the following link or your account will be suspended within 24 hours for security reasons.

->Link zur Spam-domain

After following the instructions in the sheet, your account will not be interrupted and will continue as normal.

Thanks for your attention to this request. We apologize for any inconvenience.

Sincerely, Spam-domain Abuse Department

Ansonsten sei noch gesagt, dass Mytob.QA seine eigene SMTP-Maschine nutzt um sich weiter zu versenden.

In Zusammenarbeit mit Panda-Software.de

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
W32.Mytob.QA Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.