Nom:Worm/Mytob.LQ
La date de la découverte:22/11/2005
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:26.156 Octets
Somme de contrôle MD5:10fadc6f6dc2ff2e5b006630dd2a3952
Version VDF:6.32.00.209

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.bi
   •  TrendMicro: WORM_MYTOB.MU
   •  F-Secure: W32/Mytob.PI@mm
   •  VirusBuster: iworm I-Worm.Mytob.OC
   •  Bitdefender: Win32.Worm.MyTob.CX


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windbg32.exe

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS Debugger"="windbg32.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS Debugger"="windbg32.exe"



La clé de registre suivante est changée:

Désactive le Pare-feu du Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=dword:00000004

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • *IMPORTANT* Winnings notification
   • Claim Your Free 4GB iPod nano!
   • Claim your free prize
   • Free Account Signup
   • Free Prize.
   • Important Notification
   • Notice of prize winnings
   • Retrive You Free iPod Nano!
   • Sending Free iPod measures
   • Shipping Address Request (YourFreeiPod.com)
   • Your Account is a winner
   • YourFreeiPod Support
   • Winnings Claim

En outre le sujet peut contenir des lettres aléatoires.


Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire%,
     You have been picked to receive a free prize!
     Check the attachment in this email for claiming your prize.
     Thank you
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %le domaine du destinataire% Antivirus - www.%le nom de domaine du destinataire de l'adresse email%

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire%,
     It has come to our attention that your one of five winners this month from YourFreeiPod.com
     Please see the attachment in the email for further details.
     Thank you for using YourFreeiPod.com!
     The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %le domaine du destinataire% Antivirus - www.%le nom de domaine du destinataire de l'adresse email%
     

   • Dear %le domaine du destinataire% Member,
     Please claim your free iPod Movie mediaplayer
     Us here at YourFreeiPod.com like to treat our members so we give away a free iPod every month.
     Attached to this email is the details on how you can claim your prize
     Sincerely,The YourFreeiPod Team
     +++ Attachment: No Virus (Clean)
     +++ %le domaine du destinataire% Antivirus - www.%le nom de domaine du destinataire de l'adresse email%
     

   • Dear %le domaine du destinataire% Member,
     Your e-mail account was picked from an online site www.YourFreeiPod.com. Since we did pull your name from the hat you are intitled to receive FREE 4GB Black iPod Nano.
     Please read the attachment in this email for further instructions. If you choose to ignore our request, you leave us no choice but to forfeit your winnings.
     Virtually yours,
     The YourFreeiPod Team
     +++ Attachment: No Virus found Scanned with Nod32
     +++ %le domaine du destinataire% Antivirus - www.%le nom de domaine du destinataire de l'adresse email%


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • accept-terms.zip
   • claim-infomation.zip
   • claim-prize.zip
   • document.zip
   • fat.zip
   • important-details.zip
   • merchandise.zip
   • readme.zip
   • ship-prize.zip
   • shipping-details.zip
   • terms.zip
   • winner-details.zip
   • winnings-report.zip

La pièce jointe est une archive contenant une copie du virus

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .adb; .tbb; .dbx; .asp; .php; .sht; .htm; .html; .pl; .txt;
      .xml; .cgi; .jsp


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • admin
   • administrator
   • info
   • mail
   • register
   • service
   • support
   • webmaster

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


La création des adresses pour le champ À:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • .gov; .mil; abuse; accoun; acketst; admin; admin; administrator;
      anyone; arin.; avp; berkeley; borlan; bsd; bsd; bugs; certific;
      contact; example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs;
      google; google; gov.; help; hotmail; iana; ibm.com; icrosof; icrosoft;
      ietf; info; info; inpris; isc.o; isi.e; kernel; linux; linux;
      listserv; mail; math; mit.e; mozilla; msn.; mydomai; nobody; nodomai;
      noone; not; nothing; ntivi; page; panda; pgp; postmaster; privacy;
      rating; register; rfc-ed; ripe.; root; ruslis; samples; secur; secur;
      sendmail; service; service; site; soft; somebody; someone; sopho; spm;
      submit; support; support; syma; tanford.e; the.bat; unix; unix;
      usenet; utgers.ed; webmaster; webmaster; www; you; your


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: tx.h**********.info
Port: 59999
Canal: #iPod
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: iPod



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Envoyer des e-mails
    • Se mettre à jour tout seul

 Informations divers Mutex:
Il crée le Mutex suivant:
   • iPod

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Daniel Constantin le lundi 12 décembre 2005
Description mise à jour par Daniel Constantin le mardi 13 décembre 2005

Retour . . . .