31/05/2005 - 16h05
Mytob.BI Da Redação, com informações da Trend Micro
Nome
Mytob.BI
Tipo
Worm
Descrição e forma de disseminação
Como as outras variantes do MYTOB, a versão BI se propaga enviando cópias de si mesmo por meio de um arquivo anexo a uma mensagem de correio eletrônico, através de engenharia própria de SMTP (Simple Mail Transfer Protocol).
Além disso, o Mytob.BI recolhe endereços de e-mail de uma pasta temporária do Internet Explorer, o Windows Adress Book, assim como de arquivos com certas extensões.
Este worm ainda possui características de cavalo-de-tróia, o que permite o acesso remoto à máquina infectada e a execução de certos comandos maliciosos que podem comprometer o bom funcionamento do computador e a segurança de todo o sistema.
Além disso, o Mytob.BI não deixa que os usuários acessem certos sites de antivírus e segurança e termina diversos processos que estão sendo executados na máquina. Este vírus também faz o download de arquivos que a Trend Micro detectou como TSPY_AGENT.H e ADW_MEDTICKS.A.
O Mytob.BI também se aproveita da vulnerabilidade LSASS para se propagar. Mais informações sobre essa falha, podem ser encontradas na página da Microsoft: Microsoft Security Bulletin MS04-011
O e-mail tem os seguintes detalhes:
Assunto
Qualquer um dos seguintes:
{aleatório}
*DETECTED* Online User Violation
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
*WARNING* Your Email Account Will Be Closed
Account Alert
Email Account Suspension
Important Notification
Notice of account limitation
Notice: **Last Warning**
Notice:***Your email account will be suspended***
Security measures
Your email account access is restricted
Your Email Account is Suspended For Security Reasons
Corpo da mensagem
Qualquer um dos seguintes:
Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
please look at attached document.
Please read the attached document and follow it's instructions.
Please see the attachement.
The original message has been included as an attachment.
To safeguard your email account from possible termination, please see the attached file.
To unblock your email account acces, please see the attachement.
We attached some important information regarding your account.
We have suspended some of your email services, to resolve the problem you should read the attached document.
We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Anexo
Qualquer um dos seguintes:
{aleatório}
account-details
document
document_full
email-doc
email-info
info
information
info-text
instructions
your_details
Extensão
BAT
CMD
EXE
PIF
SCR
ZIP
O Mytob.BI ataca os sistemas Windows 95, 98, ME, NT, 2000, XP.