Červ Mixor.I se šíří především prostřednictvím e -mailů, které na první pohled přicházejí od CNN, ale ve skutečnosti jejich příloha obsahuje samotný malware.
Tvůrci Mixoru. Snažím se oklamat uživatele tím, že ve zprávě infikovaných e -mailů zjevně zobrazuje informace z CNN. Uživatel pak bude upozorněn, že může získat další novinky otevřením přiloženého souboru. Ve skutečnosti to samozřejmě nepřipadá v úvahu, protože když otevřete přílohu, neobjeví se zpráva, ale začne červ.
Hlavní hrozbou pro Mixor.I je, že deaktivuje vestavěný firewall systému Windows a poté se pokusí zastavit bezpečnostní software. To vystavuje infikované počítače dalšímu malwaru.
Když červ Mixor.I spustí, provede následující akce:
1. Vytvořte následující soubor:
% System% \ wservice.exe
2. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
přidá do vašeho klíče
„UpdateService“ = „% System% \ wservice.exe“.
3. Registrační databáze
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
přidá k vašemu klíči
„Start“ = „4“ hodnota.
Tím se pokusíte zakázat bránu Windows Firewall
4. Shromažďujte e -mailové adresy z adresáře Windows.
5. Odešlete se na shromážděné e -mailové adresy.
Subjektem infikovaných listů mohou být:
Jedna z následujících možností:
Novinky v Bílém domě!
URG
POZOR NA KAŽDÉHO!
PŘEČTĚTE SI A ZNOVU ZNOVU odešlete!
Neuvěřitelná zpráva!
ZPRÁVY!
ATTN
NALÉHAVÉ ZPRÁVY!
6. Název souboru připojeného k infikované poště může být:
CNN nejnovější news.exe
CNN news reader.exe
WWW-CNN-COM.exe
cnn agent.exe
cnn site explorer.exe
cnn.exe
news agent.exe
newsreader.exe
přečtěte si me.exe
webnews agent.exe
7. Zastaví procesy spojené s bezpečnostním softwarem.
