W32/Evaman.A се разпространява към всички адреси в сайта email.people.yahoo.com

0
15

Появи се нов червей W32/Evaman.A, който се разпространява по e-mail към всички адреси намерени в web сайта email.people.yahoo.com. Той атакува системи с инсталиран Windows XP/2000/NT/ME/98/95 без да причинява сериозни щети. Понякога вирусът отваря програмата Notepad при първоначалното му активиране. В останалите случаи трудно се разпознава присъствието му, тъй като не визуализира никакви съобщения за идентифициране. Evaman.A създава файл WINTASKS.EXE – негово копие в системната директория на Windows.

Също така създава следните входове в Windows Registry:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerWintasks
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerWintasks

Evaman.A създава HTTP заявки към web сайта email.people.yahoo.com с цел да използва услугата People Search от мейл сървъра Yahoo. По този начин получава e-mail адресите, към които ще се разпраща. Той изпраща свое копие към всички намерени адреси, използвайки за това един от следните SMTP сървъри: mail.mindspring.com, mail.optonline.net, mail.peoplepc.com, mail.verio.net, mailhost.att.net, outgoing.verizon.net, smtp.comcast.net, smtp.email.msn.com, smtp.mail.yahoo.com, smtp.netzero.net, smtp.prodigy.net, smtp.rcn.com, smtp1.attglobal.net, smtpauth.earthlink.net, smtpout.bellatlantic.net, smtp-server.nc.rr.com.

Ако сред тях няма достъпен сървър, злонамереният код се опитва да намери някой друг в следния вход на Windows Registry:
HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccountsSMTP Server

ДОБАВИ КОМЕНТАР

Коментирай това преди всички други

Извести ме за
avatar
wpDiscuz