Win32.Manymize.A@mmAlias: WORM_MANYMIZE.A
0Tip: Executable Script Mass Mailer Marime: 73728 bytes, 515 bytes, 11373 bytes, 19461 bytes Descoperit: 25 iulie 2002 Detectat: 25 iulie 2002, 11:00 (GMT+2) Raspandire: Redusa Risc: Redus ITW:
Tip: Executable Script Mass Mailer Marime: 73728 bytes, 515 bytes, 11373 bytes, 19461 bytes Descoperit: 25 iulie 2002 Detectat: 25 iulie 2002, 11:00 (GMT+2) Raspandire: Redusa Risc: Redus ITW: Necunoscut Descriere tehnica: Acest virus este un Internet worm care se raspandeste prin folosirea a doua vulnerabilitati diferite. Prima metoda de raspandire consta in folosirea vulnerabilitatii Iframe care permite viermelui sa fie executat atunci cand utilizatorul previzualizeaza e-mail-ul. Cea de-a doua metoda de raspandire permite unui script sa fie executat dintr-un fisier .wmv (Windows Media File). Virusul ajunge in urmatorul format From: O adresa de e-mail generata aleator din lista urmatoare de nume: Heygenius, hulee, imedusa, jauhui, huangsj, huangsu, ietachi, jingyam, j4504, uangm, ivanhuangm, huting, j420k, homelanie, jaga6182, jj0103, hu4461, hui0716, hwachang, jacky702, jc660212, hh456, hsingni, hfp8, hgk315, huck0083, happymm, huang_ken, hut6641, j3017, james813, jarenluo, jenny_tsai, herotom, hfp5, hpf5678, ioiop5022, jupiter1117, hks7982, hippo8047, hk1513, hsiung33, jade1002, hsintay, hsu31036, ienali, jean0628, jht66, hhjj00669, hq7699, hv116699, hy0527, hyy0831, i100043491, j80014, jack2202, jacky12j, jemily, hs6910, iqmore, jack6318, jackyy0607, h2h3, h90308, hata408, hd6525, heart1028, hope90, hui0330, ifififif, ino007, isamuoki88, j813, housepain, hsiaan, hsuan0811, imgproc, ivy0323, j122388084, jearsu, jeff2415, jenshyan9, jeslee, jhae9876, jhjhshoke, hch88888, hj002040, hkl750, ioiriui, iw5650, jaja77, japs412, iii5555, i8455, h123243574, hit206, jessie1985, howarda, isancp, h885talk, hanwuji, hapi169, hb0810, hdd0002, hhhh7111, j7558486, jackie59, jarehoard0339, jcsun1028, jk78963578, jmj12, jmsbtl, jn0481, jo1016, joe126857, joemm, johnnyy1, jojo987654, joko3, jon1210, jonse16 Si domeniul: @patame.com.tw Subject: Acesta este generat aleator dintr-un tabel. Din fiecare coloana se alege o varianta, alcatuind astfel o propozitie: Ex: [Hi] [, See this] [amusing] [movie] Attachments: Mi2.chm and Mi2.exe and Mi2.htm and Mi2.wmv Atunci cand utilizatorul previzualizeaza e-mail-ul, atasamentul mi2.exe va fi executat si, astfel, viermele va incepe sa se raspandeasca. Daca sistemul nu este vulnerabil la vulnerabilitatea Iframe, viermele se va raspandi doar daca utilizatorul va deschide unul din atasamente. De obicei, utilizatorul va deschide atasamentul mi2.wmv. Acest fisier contine un URL catre mi2.htm si atunci cand acesta este vizualizat cu Media Player html-ul va fi executat. mi2.htm ofera controlul fisierului mi2.chm. Mi2.chm contine un script care va deschide mi2.exe. Dupa ce mi2.exe este deschis se executa rutina de raspandire a virusului si atunci viermele va aduna toate adresele de e-mail din Address Book-ul din Outlook Expres si se va trimite acelor adrese, in acelasi format in care ajunge. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.