Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mytob.61440
La date de la dcouverte:03/05/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:58.368 Octets
Somme de contrle MD5:d4be7b51dee132f5814a3c7df7c5a464
Version IVDF:6.30.00.154 - mardi 3 mai 2005

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Mcafee: W32/Mytob.gen@MM
   •  Kaspersky: Net-Worm.Win32.Mytob.gen
   •  TrendMicro: WORM_MYDOOM.DM
   •  F-Secure: Net-Worm.Win32.Mytob.gen
   •  Sophos: W32/Mytob-BT
   •  Panda: W32/Mytob.CD.worm
   •  Eset: Win32/Mytob.BL worm
   •  Bitdefender: Win32.Worm.Mytob.LM


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accs aux sites web de scurit
   • Il emploie son propre moteur de courrier lectronique
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\taskgmrs.exe
   • c:\funny_pic.scr
   • c:\see_this!!.scr
   • c:\my_photo2005.scr



Le fichier suivant est cr:

c:\hellmsn.exe Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Mytob.F.1

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WINDRUN"="taskgmrs.exe"



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDRUN"="taskgmrs.exe"



Les cls de registre suivantes sont ajoute:

[HKCU\Software\Microsoft\OLE]
   • "WINDRUN"="taskgmrs.exe"

[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

[HKLM\SOFTWARE\Microsoft\Ole]
   • "EnableDCOM"="Y"
   • "WINDRUN"="taskgmrs.exe"

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "WINDRUN"="taskgmrs.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.
L'expditeur de cet e-mail est un des ceux qui suivent:
   • sandra
   • lolita
   • britney
   • bush
   • linda
   • julie
   • jimmy
   • jerry
   • helen
   • debby
   • claudia
   • brenda
   • anna
   • madmax
   • brent
   • adam
   • ted
   • fred
   • jack
   • bill
   • stan
   • smith
   • steve
   • matt
   • dave
   • dan
   • joe
   • jane
   • bob
   • robert
   • peter
   • tom
   • ray
   • mary
   • serg
   • brian
   • jim
   • maria
   • leo
   • jose
   • andrew
   • sam
   • george
   • david
   • kevin
   • mike
   • james
   • michael
   • alex
   • john


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.


Sujet:
Un des suivants:
   • hello
   • Error
   • Status
   • Good day
   • SERVER REPORT
   • Mail Transaction Failed
   • Mail Delivery System

Dans certains cas, le sujet pourrait galement tre vide.
En outre le sujet peut contenir des lettres alatoires.


Corps:
–  Dans certains cas il peut contenir des caractres alatoires.
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The original message was included as an attachment.
   • Here are your banks documents.


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • doc
   • file
   • text
   • data
   • body
   • readme
   • message
   • document
   • %chane de caractres alatoire%

    L'extension du fichier est une des suivantes:
   • .zip
   • .scr
   • .pif
   • .bat
   • .exe
   • .cmd



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adbh
   • tbbg
   • dbxn
   • aspd
   • phpq
   • shtl
   • htmb


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; be_loyal:; mozilla; utgers.ed; tanford.e; pgp; acketst; secur;
      isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet;
      fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math;
      unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai;
      example; inpris; borlan; sopho; panda; icrosof; syma; avp; .edu;
      abuse; www

 Infection du rseau La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS04-011 (LSASS Vulnerability)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: irc.beast**********
Port: 8080
Canal: #hell
Pseudonyme: [I]%chane de caractres alatoire%
Mot de passe: hellabot


 Ensuite il a la capacit d'oprer des actions tel que:
     se dconnecter du serveur IRC
    • Activer les partages rseau
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Charger un fichier

 Htes Le fichier hte est modifi, comme il est expliqu:

Dans ce cas les entres dj existantes ne sont pas modifies.

L'accs aux liens URL suivants est effectivement bloqu :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.microsoft.com; www.trendmicro.com




Le fichier hte modifi ressemblera ceci:


 Porte drobe Le port suivant est ouvert:

taskgmrs.exe sur le port TCP 10082 afin de fournir un serveur FTP

 Informations divers Mutex:
Il cre le Mutex suivant:
   • H-E-L-L-B-O-T

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Upack

Description insérée par Gabriel Mustata le vendredi 5 octobre 2007
Description mise à jour par Gabriel Mustata le vendredi 5 octobre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.