Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mydoom.BT
La date de la découverte:22/06/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:24.576 Octets
Somme de contrôle MD5:d102de7a1ec7b37db2cb0936e51f8509
Version VDF:6.31.00.92

 Général Méthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Kaspersky: Email-Worm.Win32.Mydoom.au
   •  Grisoft: I-Worm/Mytob.JE
   •  VirusBuster: I-Worm.Mytob.EK1
   •  Eset: Win32/Mydoom.BH


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\caca.exe



Le fichier suivant est créé:

%SYSDIR%\systemcall.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Mydoom.BT.DLL

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Caca"="%SYSDIR%\caca.exe"



La clé de registre suivante est ajoutée:

– HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • @="%SYSDIR%\systemcall.dll"
   • "ThreadingModel"="Apartment"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • Error
   • Status
   • hello
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System



Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-même.

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il recherche le dossier partagé en questionnant la clé de registre suivante :
   • HKCU\Software\Kazaa\Transfer

   En cas de succès, les fichiers suivants sont créés:
   • nuke2004
   • office_crack
   • rootkitXP
   • winamp5
   • icq2004-final
   • activation_crack
   • strip-girl-2.0bdcom_patches

   Ces fichiers sont copies du Malware.

 Porte dérobée Le port suivant est ouvert:

%le dossier d'exécution du malware%\%le fichier exécuté% sur le port TCP 3127 afin de fonctionner comme serveur proxy Sock 4.

 DoS Immédiatement après il devient actif, il commence un attaque DoS vers la destination suivante:
   • www.sco.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Boldea le lundi 23 octobre 2006
Description mise à jour par Irina Boldea le lundi 6 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.