Net-Worm.Win32.Mytob.c

Net-Worm.Win32.Mytob.c («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.C@mm (Symantec), Win32.HLLM.MyDoom.20 (Doctor Web), W32/Mytob-C (Sophos), WORM_MYDOOM.GEN (Trend Micro), Worm/Zusha.A (H+BEDV), W32/Mytob.D@mm (FRISK), I-Worm/Mydoom (Grisoft), Win32.Worm.Mytob.C (SOFTWIN), Worm.Mytob.A (ClamAV), W32/Mytob.C.worm (Panda), Win32/Mytob.D (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Вирус распространяется, используя уязвимость в сервисе Windows LSASS (MS04-011).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

По своим функциям практически полностью идентичен варианту Mytob.a. Отличается от него лишь незначительными изменениями:

1. Mytob.c имеет размер около 49КБ, упакован UPX. Размер распакованного файла — около 98КБ.

2. Вместо файла %System%\msnmsgr.exe червь создает файл %System%\wfdmgr.exe

3. Червь регистрирует данный файл в ключах автозапуска системного реестра:

  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices]
  [HKCU\SYSTEM\CurrentControlSet\
  Control\Lsa]
  [HKCU\Software\Microsoft\OLE]
   "LSA"="wfdmgr.exe"