Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mydoom.BH.1
La date de la dcouverte:31/08/2007
Type:Ver
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:131.072 Octets
Somme de contrle MD5:1aec7aebd916c3862131af0F7fe46da2
Version VDF:6.39.01.017
Version IVDF:6.39.01.018

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Mydoom.gen@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.bh
   •  F-Secure: Email-Worm.Win32.Mydoom.bh
   •  Sophos: W32/MyDoom-BX
   •  Panda: W32/Mydoom.DL.worm
   •  Grisoft: I-Worm/Generic.BXO
   •  Eset: Win32/Mydoom.NA
   •  Bitdefender: Generic.Mydoom.4C96A5D8


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accs aux sites web de scurit
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\dvupdate.exe



Il supprime sa propre copie, excute initialement



Les fichiers suivants sont crs:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %TEMPDIR%\tmp%numro hexadcimal%.tmp

%TEMPDIR%\%chane de caractres alatoire%.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Driver Update="%SYSDIR%\dvupdate.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • A friendly warning
   • Greetings. Please read on.
   • Hello there! Read on.
   • Hey, just warning you
   • HEY, THIS IS KINDA URGENT
   • Some important information
   • You might want to read this...
   • You need to protect yourself

Dans certains cas, le sujet pourrait galement tre vide.
En outre le sujet peut contenir des lettres alatoires.


Corps:
 Le corps se construit avec laide dune expression rgulire.
–  Dans certains cas, il peut tre vide.
–  Dans certains cas il peut contenir des caractres alatoires.


Le corps de l'email est un des suivants:

   • I don't know if you have heard yet or not but there's a deadly computer virus going around lately...
     I got caught by it the other day and lost all my files.
     Luckily Microsoft just released a fix which will protect you from it.
     I've attached the fix to this email, so you'll be fine if you install it
     Please open the attached file. It contains very important information concerning you.

   • Please open the attached file. It contains very important information concerning you.

   • I found a file that has a lot of information about YOU in it, I thought you might want to know about it.
     It's attached to this email, so open it if you're interested.

   • Hey, I assume you've heard about that new computer virus?
     A friend of mine got hit by it the other day and lost EVERY file on his compuiter.
     I attached a fix for it to this email, so you should be fine if you install it.
     Good luck!


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • ReadMe_TXT
   • ReadThisNow_TXT
   • UrgentInfo
   • MSWinFix
   • MSHotFix_Latest
   • Latest_Patch
   • Info_Doc
   • ImportantInfo
   • %chane de caractres alatoire%

    L'extension du fichier est une des suivantes:
   • .exe
   • .zip

L'attachement est une copie du malware lui-mme.

La pice jointe est une archive contenant une copie du virus



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


La cration des adresses pour le champ :
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Il utilise la mme liste de domaine que mentionn ci-dessus.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; -._!@; -._!;
      spm; fcnz; www; abuse; .edu


Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacit de contacter un des serveurs MX suivants:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Htes Le fichier hte est modifi, comme il est expliqu:

Dans ce cas les entres existantes sont crases

L'accs aux liens URL suivants est effectivement bloqu :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




Le fichier hte modifi ressemblera ceci:


 Porte drobe Serveur de contact:
Le suivant:
   • io.phatnet.**********:7001

En consquence la possibilit de contrle distance est fournie.

Il envoie de l'information au sujet de:
     Le temps de fonctionnement du Malware


Capacits d'accs distance:
     Tlcharger un fichier
     Excuter un fichier
     Finir le processus
     Deplacer fichier

 Informations divers Mutex:
Il cre le Mutex suivant:
   • doom1

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Monica Ghitun le mercredi 3 octobre 2007
Description mise à jour par Monica Ghitun le jeudi 4 octobre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.