Nom:Worm/Mytob.EU.1
La date de la découverte:10/07/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:61.440 Octets
Somme de contrôle MD5:7f190C5c0271904bdf0D26ccec0B3b53
Version VDF:6.35.00.142

 Général Méthode de propagation:
   • Email


L'alias:
   •  Kaspersky: Net-Worm.Win32.Mytob.eu


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique


Immédiatement après l'exécution l'information suivante est affichée:

L'image a été éditée dans le but d'affichage.

 Fichiers Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\tmp%numéro hexadécimal%.tmp

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • Error
   • Hello
   • Hi
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status
   • Test

En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est une des lignes:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %chaîne de caractères aléatoire%

    Continué par une des extensions fausses suivantes :
   • zip
   • bat
   • cmd
   • exe
   • pif
   • scr

L'attachement est une copie du malware lui-même.

La pièce jointe est une archive contenant une copie du virus



L'email pourrait ressembler à un des suivants:




 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab; adb; tbb; dbx; php; sht; htm; txt; tmp; pl; asp


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; fred; george; helen; jack; james; jane;
      jerry; jim; jimmy; joe; john; jose; julie; kevin; leo; linda; maria;
      mary; matt; michael; mike; peter; ray; robert; sam; sandra; serg;
      smith; stan; steve; ted; tom; %chaîne de caractères
      aléatoire%

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help; hotmail;
      iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o; isi.e;
      kernel; linux; listserv; math; mit.e; mozilla; msn; mydomai; nobody;
      nodomai; noone; not; nothing; ntivi; page; panda; pgp; postmaster;
      privacy; rating; rfc-ed; ripe.; root; ruslis; samples; secur;
      sendmail; service; site; soft; somebody; someone; sopho; submit;
      support; syma; tanford.e; the.bat; unix; usenet; utgers.ed; webmaster;
      you; your


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Daniel Constantin le mercredi 9 août 2006
Description mise à jour par Daniel Constantin le mercredi 9 août 2006

Retour . . . .