Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mytob.LZ
La date de la découverte:28/11/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:94.689 Octets
Somme de contrôle MD5:2f172aa5095904316ae33e5d04edffb5
Version VDF:6.32.00.233

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Net-Worm.Win32.Mytob.cu
   •  TrendMicro: WORM_MYTOB.NB
   •  F-Secure: Net-Worm.Win32.Mytob.cu
   •  Sophos: W32/Mytob-FZ
   •  Panda: W32/Mydoom.CA.worm
   •  VirusBuster: I-Worm.Mytob.OP
   •  Eset: Win32/Mytob.NE
   •  Bitdefender: Win32.Worm.MyTob.DL


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msconfgh.exe

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Win32 Cnfg32" = "msconfgh.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Win32 Cnfg32" = "msconfgh.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Win32 Cnfg32
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\msconfgh.exe"
   • "DisplayName"="Win32 Cnfg32"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "DeleteFlag"=dword:00000001

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • Your Account is Suspended
   • Your new account password is approved
   • You have successfully updated your password
   • Your password has been successfully updated
   • Your password has been updated

En outre le sujet peut contenir des lettres aléatoires.


Corps:
Le corps de l'email est un des suivants:

   • Dear %le nom de domaine du destinataire de l'adresse email% Member,
     We have temporarily suspended your email account %l'adresse email du destinataire%
     This might be due to either of the following reasons:
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %le nom de domaine du destinataire de l'adresse email% account.
     Sincerely,The %le nom de domaine de l'expéditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le nom de domaine de l'expéditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expéditeur de l'adresse email%

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire% ,
     You have successfully updated the password of your %le nom de domaine du destinataire de l'adresse email% account.
     If you did not authorize this change or if you need assistance with your account, please contact %le nom de domaine de l'expéditeur de l'adresse email% customer service at: %Adresse email de l’expéditeur%
     Thank you for using%le nom de domaine de l'expéditeur de l'adresse email%!
     The %le nom de domaine de l'expéditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le nom de domaine de l'expéditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expéditeur de l'adresse email%

   • Dear%le nom de domaine du destinataire de l'adresse email% Member,
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     Virtually yours,
     The %le nom de domaine de l'expéditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus found
     +++%le nom de domaine de l'expéditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expéditeur de l'adresse email%

   • Dear user %le nom d'utilisateur de l'adresse email du destinataire% ,
     It has come to our attention that your %le nom de domaine de l'expéditeur de l'adresse email% User Profile ( x ) records are out of date. For further details see the attached document.
     Thank you for using %le nom de domaine de l'expéditeur de l'adresse email% !
     The %le nom de domaine de l'expéditeur de l'adresse email% Support Team
     
     +++ Attachment: No Virus (Clean)
     +++ %le nom de domaine de l'expéditeur de l'adresse email% Antivirus - www.%le nom de domaine de l'expéditeur de l'adresse email%


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %chaîne de caractères aléatoire%.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab; adb; tbb; dbx; asp; php; sht; htm; html; xml; cgi; jsp; txt; tmp


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support



La création des adresses pour le champ À:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom



Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • .edu; .gov; .mil; abuse; accoun; acketst; admin; ahn; antivi; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      duba; example; fbi; fcnz; feste; fido; foo.; f-pro; freeav; f-secur;
      fsf.; gnu; gold-certs; google; gov.; help; hotmail; iana; ibm.com;
      icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e; jiangmin;
      kaspersky; kernel; linux; listserv; master; math; mcafee; messagelabs;
      mit.e; mozilla; msn.; mydomai; nobody; nodomai; noone; norman; norton;
      not; nothing; ntivi; page; panda; pgp; postmaster; privacy; rating;
      rfc-ed; ripe.; rising; root; ruslis; samples; sdbot; secur; sendmail;
      service; site; slashdot; soft; somebody; someone; sopho; sourceforge;
      spm; submit; support; syma; symantec; tanford.e; the.bat; unix;
      usenet; utgers.ed; viruslis; webmaster; www; you; your


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: f00r.dy**********
Port: 6667
Canal: #tob
Mot de passe: (null)



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Redémarrer le système
    • Envoyer des e-mails
    • Arrêter le système
    • Commence le keylog
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
      www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
      moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\msconfgh.exe sur un port TCP aléatoire afin de fournir un serveur FTP

 Vol d'informations – il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :.login
   • :!login
   • :.secure
   • :!advscan
   • :.advscan
   • :.ipscan
   • :!ident
   • :.ident

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Il capture:
    • Trafic Internet
    • Information du compte

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW

Description insérée par Irina Boldea le vendredi 31 mars 2006
Description mise à jour par Irina Boldea le mercredi 19 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.