Nom:Worm/Mydoom.BC
La date de la découverte:01/03/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:48.766 Octets
Somme de contrôle MD5:27ab71805c9fa8447c787e50843eceb5
Version IVDF:6.30.00.6 - mardi 1 mars 2005

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Mytob.gen
   •  Sophos: W32/Mytob-C
   •  Panda: W32/Mytob.C.worm
   •  Eset: Win32/Mytob.D
   •  Bitdefender: Worm.Generic.82094


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wfdmgr.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "LSA"="wfdmgr.exe"



On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "LSA"="wfdmgr.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "LSA"="wfdmgr.exe"

– [HKCU\Software\Microsoft\OLE]
   • "LSA"="wfdmgr.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Ole]
   La nouvelle valeur:
   • "LSA"="wfdmgr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   La nouvelle valeur:
   • "LSA"="wfdmgr.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    Continué par une des extensions fausses suivantes :
   • bat
   • cmd
   • exe
   • scr
   • pif

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Serveur MX:
Il a la capacité de contacter un des serveurs MX suivants:
   • gate
   • ns
   • relay
   • mail1
   • mxs
   • mx1
   • smtp
   • mail
   • mx

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.bl**********.net
Port: 6667
Canal: #d3
Pseudonyme: %chaîne de caractères aléatoire%


– Ensuite il a la capacité d'opérer des actions tel que:
    • Exécuter un fichier
    • Scanner le réseau
    • Se mettre à jour tout seul

 Porte dérobée sur un port TCP aléatoire afin de fournir un serveur FTP

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le vendredi 5 mars 2010

Retour . . . .