Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mydoom.CJ
La date de la dcouverte:18/08/2007
Type:Ver
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~22.000 Octets
Version VDF:6.39.01.16
Version IVDF:6.39.01.17 - samedi 18 août 2007

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  F-Secure: Email-Worm:W32/Mytob.FP
   •  Grisoft: I-Worm/Mydoom.DH


Plateformes / Systmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mzupdate.exe



Il se copie dans des fichiers compresss l'emplacement suivant :
   • %TEMPDIR%\tmp%numro hexadcimal%.tmp



Il supprime sa propre copie, excute initialement



Les fichiers suivants sont crs:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %TEMPDIR%\tmp%numro hexadcimal%.tmp

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • mzupdate = %SYSDIR%\mzupdate.exe

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
– Les adresses cres


Sujet:
Un des suivants:
   • RE: hey, how are ya?
   • RE: long time no see!
   • Urgent Announcement
   • Important Announcement
   • RE: hey, hows it going?
   • RE: Your details
   • Hey, congratulations!
   • RE: You have been Approved

Dans certains cas, le sujet pourrait galement tre vide.
En outre le sujet peut contenir des lettres alatoires.


Corps:
–  Dans certains cas, il peut tre vide.
–  Dans certains cas il peut contenir des caractres alatoires.


Le corps de l'email est une des lignes:
   • See attached document for details.
   • Please see attached document for more information.
   • This message could not be displayed. It has been attached to this email instead.
   • Please open the attached document. It contains important information.


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • Readme
   • UrgentInfo
   • Details
   • New_Message
   • New_Document
   • %chane de caractres alatoire%

    L'extension du fichier est une des suivantes:
   • .exe
   • .zip

L'attachement est une copie du malware lui-mme.

La pice jointe est une archive contenant une copie du virus



L'email pourrait ressembler un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


La cration des adresses pour les champs et DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      maria; leo; jose; andrew; george; david; kevin; mike; sam; james;
      john; jim; jack

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouves dans les fichiers du systmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; .edu;
      -._!; -._!@; abuse; www


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Porte drobe Serveur de contact:
Le suivant:
   • io.phat********** : 7001



Il envoie de l'information au sujet de:
     Le statut courant du malware


Capacits d'accs distance:
     Supprime le fichier
     Tlcharger un fichier
     Excuter un fichier
     Terminer le Malware

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Petite

Description insérée par Andrei Gherman le lundi 20 août 2007
Description mise à jour par Andrei Gherman le lundi 20 août 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.