Nom:Worm/Mydoom.M.unp
La date de la découverte:26/07/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:41.408 Octets
Somme de contrôle MD5:6e821a45f567011c1aa88822efc14193
Version VDF:6.26.00.44

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Mydoom.AZ@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.am
   •  TrendMicro: WORM_MYDOOM.M
   •  Sophos: W32/MyDoom-BC
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.AJ1
   •  Eset: Win32/Mydoom.AX
   •  Bitdefender: Win32.Mydoom.AQ@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\java.exe



Le fichier suivant est créé:

%WINDIR%\services.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Tr/Mydoom.BB.1




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www.imogenheap.co.uk/iblog/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "JavaVM"="%WINDIR%\java.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses recueillies par l'intermédiaire des moteurs de recherche


Sujet:
Un des suivants:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Le corps se construit avec l´aide d´une expression régulière.
–  Dans certains cas, il peut être vide.
–  Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est un des suivants:

   • Dear user {%l'adresse email du destinataire% |of %le domaine du destinataire% },{ {{M|m}ail {system|server} administrator|administration} of %le domaine du destinataire% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
     
     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
     
     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
     
     {%le domaine du destinataire% {user |technical |}support team.|The %le domaine du destinataire% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
     
     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
     
     Your message {was not|could not be} delivered within %nombre% days:
     {{{Mail s|S}erver}|Host} %adresse IP aléatoire% is not responding.
     
     The following recipients {did|could} not receive this message
     %Adresse email de l’expéditeur%
     
     Please reply to postmaster@{%le domaine de l'expéditeur% |%le domaine du destinataire%} if you feel this message to be in error

   • The original message was received at %la date courante%{| }from {%le domaine de l'expéditeur% [%adresse IP aléatoire%]}
     
     ----- The following addresses had permanent fatal errors -----
     
     {<%le domaine du destinataire%>|%le domaine du destinataire%}
     
     {----- Transcript of {the ||}session follows -----
     
     ... while talking to {host |{mail |}server ||||}{%le domaine du destinataire%.|%adresse IP aléatoire%}:
     
     {>>> MAIL F{rom|ROM}:%le domaine de l'expéditeur%
     
     <<< 50%nombre% {%le domaine de l'expéditeur% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%le domaine du destinataire%>... {Mail quota exceeded|Message is too large}
     
     554 <%le domaine du destinataire%>... Service unavailable|550 5.1.2 <%le domaine du destinataire%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%adresse IP aléatoire%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
     
     Session aborted{, reason: lost connection|}|>>> RCPT To:<%le domaine du destinataire%>
     
     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%le domaine du destinataire%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
     
     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment
     

   • {{The|Your} m|M}essage could not be delivered


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

L'attachement est une copie du malware lui-même.

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • doc
   • txt
   • htm
   • html


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Moteur de recherche:
Afin de recueillir plus d'adresses d'email il entre en contact avec les moteurs de recherche suivants:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/



Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • mx.
   • mail.
   • smtp.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • %computername%root%computername%rootx%computername%root%computername%rootxx

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Irina Boldea le jeudi 18 mai 2006
Description mise à jour par Irina Boldea le lundi 22 mai 2006

Retour . . . .