Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mydoom.BT
La date de la dcouverte:22/06/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:24.576 Octets
Somme de contrle MD5:d102de7a1ec7b37db2cb0936e51f8509
Version VDF:6.31.00.92

 Gnral Mthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Kaspersky: Email-Worm.Win32.Mydoom.au
   •  Grisoft: I-Worm/Mytob.JE
   •  VirusBuster: I-Worm.Mytob.EK1
   •  Eset: Win32/Mydoom.BH


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il cre un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\caca.exe



Le fichier suivant est cr:

%SYSDIR%\systemcall.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Mydoom.BT.DLL

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Caca"="%SYSDIR%\caca.exe"



La cl de registre suivante est ajoute:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • @="%SYSDIR%\systemcall.dll"
   • "ThreadingModel"="Apartment"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses cres


Sujet:
Un des suivants:
   • Error
   • Status
   • hello
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System



Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-mme.

La pice jointe est une archive contenant une copie du virus



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


La cration des adresses pour les champs et DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouves dans les fichiers du systmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


   Il recherche le dossier partag en questionnant la cl de registre suivante :
   • HKCU\Software\Kazaa\Transfer

   En cas de succs, les fichiers suivants sont crs:
   • nuke2004
   • office_crack
   • rootkitXP
   • winamp5
   • icq2004-final
   • activation_crack
   • strip-girl-2.0bdcom_patches

   Ces fichiers sont copies du Malware.

 Porte drobe Le port suivant est ouvert:

%le dossier d'excution du malware%\%le fichier excut% sur le port TCP 3127 afin de fonctionner comme serveur proxy Sock 4.

 DoS Immdiatement aprs il devient actif, il commence un attaque DoS vers la destination suivante:
   • www.sco.com

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Irina Boldea le lundi 23 octobre 2006
Description mise à jour par Irina Boldea le lundi 6 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.