Как распознать письмо, зараженное Mydoom.B

Описание новой еще более опасной версии нашумевшего вируса-червя "Лаборатория Касперского" уже разместила в своей Вирусной Энциклопедии.

Функция рассылки писем у Mydoom.B идентична той, что применялась в варианте Mydoom.А. Но есть и небольшие изменения.

Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding

and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.

Partial message has been received

The message contains Unicode characters and

has been sent asa binary attachment.

The message contains MIME-encoded graphics and

has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

NessusScan_pro

attackXP-1.26

winamp5

MS04-01_hotfix

zapSetup_40_148

BlackIce_Firewall_Enterpriseactivation_crack

xsharez_scanner

icq2004-final

с расширением из списка:

bat

exe

scr

pif