Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mydoom.L.2
La date de la découverte:19/07/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:78.756 Octets
Somme de contrôle MD5:a3026f698ac9b0c575f7ac39f1082e01
Version VDF:6.26.00.35

 Général Méthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\lsass.exe



Le fichier suivant est créé:

– Un fichier qui contient des adresses d'e-mail collectées:
   • %TEMPDIR%\%chaîne de caractères aléatoire%.txt

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

En outre le sujet peut contenir des lettres aléatoires.


Corps:
Le corps de l'email est un des suivants:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %plusieurs chiffres aléatoires% days:
     Host %adresse IP aléatoire% is not responding.
     
     The following recipients did not receive this message:
     %l'adresse email du destinataire%
     
     Please reply to postmaster@%le domaine de l'expéditeur%
     if you feel this message to be in error.

   • The original message was received at Tue, %la date courante% %l'heure courante%
     from %le domaine du destinataire% [%adresse IP aléatoire%]
     
     ----- The following addresses had permanent fatal errors -----
     %l'adresse email du destinataire%
     
     ----- Transcript of session follows -----
      while talking to %le domaine du destinataire%.:
     >>> MAIL From:%Adresse email de l’expéditeur%
     <<< 501 %Adresse email de l’expéditeur%... Refused

   • The original message was received at Tue, %la date courante% %l'heure courante%
     from %le domaine du destinataire% [%adresse IP aléatoire%]
     
     ----- The following addresses had permanent fatal errors -----
     %l'adresse email du destinataire%


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

L'attachement est une copie du malware lui-même.

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • doc
   • txt
   • htm
   • html


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • mx.
   • mail.
   • smtp.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • incoming
   • ftproot
   • download
   • shar

   En cas de succès, les fichiers suivants sont créés:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Ces fichiers sont copies du Malware.

 Arrêt de processus: Les processus contenant un des noms de classe de fenêtre suivants sont arrêtés:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Porte dérobée Le port suivant est ouvert:

%le dossier d'exécution du malware%\%le fichier exécuté% sur le port TCP 1042 afin de fournir de capacités de porte dérobée

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Irina Boldea le mardi 28 février 2006
Description mise à jour par Robert Harja Iliescu le mardi 5 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.