Nom:Worm/Mydoom.CJ
La date de la découverte:18/08/2007
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~22.000 Octets
Version VDF:6.39.01.16
Version IVDF:6.39.01.17 - samedi 18 août 2007

 Général Méthode de propagation:
   • Email


Les alias:
   •  F-Secure: Email-Worm:W32/Mytob.FP
   •  Grisoft: I-Worm/Mydoom.DH


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mzupdate.exe



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %TEMPDIR%\tmp%numéro hexadécimal%.tmp



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\tmp%numéro hexadécimal%.tmp

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • mzupdate = %SYSDIR%\mzupdate.exe

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses créées


Sujet:
Un des suivants:
   • RE: hey, how are ya?
   • RE: long time no see!
   • Urgent Announcement
   • Important Announcement
   • RE: hey, hows it going?
   • RE: Your details
   • Hey, congratulations!
   • RE: You have been Approved

Dans certains cas, le sujet pourrait également être vide.
En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Dans certains cas, il peut être vide.
–  Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est une des lignes:
   • See attached document for details.
   • Please see attached document for more information.
   • This message could not be displayed. It has been attached to this email instead.
   • Please open the attached document. It contains important information.


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • Readme
   • UrgentInfo
   • Details
   • New_Message
   • New_Document
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • .exe
   • .zip

L'attachement est une copie du malware lui-même.

La pièce jointe est une archive contenant une copie du virus



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      maria; leo; jose; andrew; george; david; kevin; mike; sam; james;
      john; jim; jack

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; .edu;
      -._!; -._!@; abuse; www


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Porte dérobée Serveur de contact:
Le suivant:
   • io.phat********** : 7001



Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Supprime le fichier
    • Télécharger un fichier
    • Exécuter un fichier
    • Terminer le Malware

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Petite

Description insérée par Andrei Gherman le lundi 20 août 2007
Description mise à jour par Andrei Gherman le lundi 20 août 2007

Retour . . . .