Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mydoom.L.2
La date de la dcouverte:19/07/2004
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:78.756 Octets
Somme de contrle MD5:a3026f698ac9b0c575f7ac39f1082e01
Version VDF:6.26.00.35

 Gnral Mthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\lsass.exe



Le fichier suivant est cr:

– Un fichier qui contient des adresses d'e-mail collectes:
   • %TEMPDIR%\%chane de caractres alatoire%.txt

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

En outre le sujet peut contenir des lettres alatoires.


Corps:
Le corps de l'email est un des suivants:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %plusieurs chiffres ale?atoires% days:
     Host %adresse IP ale?atoire% is not responding.
     
     The following recipients did not receive this message:
     %l'adresse email du destinataire%
     
     Please reply to postmaster@%le domaine de l'expditeur%
     if you feel this message to be in error.

   • The original message was received at Tue, %la date courante% %l'heure courante%
     from %le domaine du destinataire% [%adresse IP ale?atoire%]
     
     ----- The following addresses had permanent fatal errors -----
     %l'adresse email du destinataire%
     
     ----- Transcript of session follows -----
      while talking to %le domaine du destinataire%.:
     >>> MAIL From:%Adresse email de lexpe?diteur%
     <<< 501 %Adresse email de lexpe?diteur%... Refused

   • The original message was received at Tue, %la date courante% %l'heure courante%
     from %le domaine du destinataire% [%adresse IP ale?atoire%]
     
     ----- The following addresses had permanent fatal errors -----
     %l'adresse email du destinataire%


Pice jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

L'attachement est une copie du malware lui-mme.

La pice jointe est une archive contenant une copie du virus



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • doc
   • txt
   • htm
   • html


La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • mx.
   • mail.
   • smtp.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


   Il cherche les rpertoires qui contient une des sous chane de caractres suivantes:
   • incoming
   • ftproot
   • download
   • shar

   En cas de succs, les fichiers suivants sont crs:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Ces fichiers sont copies du Malware.

 Arrt de processus: Les processus contenant un des noms de classe de fentre suivants sont arrts:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Porte drobe Le port suivant est ouvert:

%le dossier d'excution du malware%\%le fichier excut% sur le port TCP 1042 afin de fournir de capacits de porte drobe

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.

Description insérée par Irina Boldea le mardi 28 février 2006
Description mise à jour par Robert Harja Iliescu le mardi 5 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.