Mytob.A 26.03.2009


Verbreitung:--->*****
Schaden:------->*****

Zurzeit ist der Wurm Mytob.A wieder verstärkt unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht
zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die
entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: • Error • Hello • Mail Delivery System • Mail Transaction Failed • Server Report • Status.

Dateianhang: body.zip.exe.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: Mail transaction failed. Partial message is available.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!