Worm_MyDoom-AE

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 51712 Octet(s)

Détails techniques:

Le ver est un fichier exécutable PE (Portable Executable) de 51712 octets compressé avec UPX. Le fichier décompressé fait plus de 107 Kilo octets.

Installation sur le système

Lorsqu'il est exécuté, le ver créait tout d'abord un mutex nommé "My-Game" dans le but de ne pas être exécuté plusieurs fois sur la machine infectée. Il télécharge ensuite le fichier Scran.exe du site "www.freewebs.com". Puis il le sauvegarde sous le même nom à la racine du disque (c:\) et l'active. Le fichier téléchargé est un ver P2P (Peer-to-peer) nommé "Scranor".

Le ver se copie également dans le répertoire System de Windows en tant que "avpr.exe" et ajoute ensuite une entrée à la base de registre afin d'être exécuté à chaque démarrage d'un session utilisateur :

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Avpr" = "%WinSysDir%\avpr.exe"

Note: "%WinSysDir%" représente le répertoire System de Windows.

Le ver créait également la clé suivante dans la base de registre:

[HKLM\Software\Microsoft\Windows\DdInfect]

Propagation par courriel

Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows mais également dans les fichiers ayant l'un des extensions suivantes :

.wab
.pl
.adb
.tbb
.dbx
.asp
.php
.sht
.vbs
.cfg
.eml
.cgi
.wsh
.msg
.uin
.xls
.jsp
.xml
.mdx
.mbx
.html
.htm
.txt


Il cherche ses fichiers dans les répertoires suivants sur l'ensemble des disques (C: à Z:):

Desktop
Temporary Internet Files
My Documents
Application Data
Program Files
Windows System


En revanche, le ver n'envoie pas de messages aux adresses contenant l'une des chaînes de caractères suivantes :

avp
syma
icrosof
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
acketst
pgp
tanford.e
utgers.ed
mozilla
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun


L'objet du message est sélectionné aléatoirement parmi la liste suivante:

Announcement
Details
Re:Details
Information
Re:Information
Important
Re:Important
Fw:Important
Document
Re:Document
Fw:Document
Notification
Re:Notification
Fw:Notification
Warning
Re:Warning
Fw:Warning
read now!
Information
Fw:Information


Le contenu du message est sélectionné aléatoirement parmi la liste suivante :

Daily Report.
your document.
here is the document.
Reply
Important Information.
Kill the writer of this document!
Details are in the attached document.
See the attached file for details
Please see the attached file for details
Check the attached document.
Monthly news report.
Please confirm!.
Please read the attached file!.
Please see the attached file for details.
Waiting for a Response. Please read the attachment.
Please answer quickly!.


Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante :

document.doc{espace}.
report.doc{espace}.
news.doc{espace}.
msg.doc{espace}.
information.doc{espace}.
letter.doc{espace}.
message.doc{espace}.
file.doc{espace}.
check.doc{espace}.
error.doc{espace}.
archive.doc{espace}.
list.doc{espace}.
data.doc{espace}.
text.doc{espace}.
note.doc{espace}.
notes.doc{espace}.
attachment.doc{espace}.


Note: {espace} représente un le caractère "espace" laissé volontairement par le ver pour cacher son extension.

L'extension du fichier infecté peut être:

.cpl
.scr
.pif


MyDoom-AE peut également s'envoyer en tant qu'archive ZIP.

Le ver peut également attaché un faux rapport d'antivirus aux messages infectés envoyés:

+++ Attachment: No Virus found
{nom_editeur_antivirus}


Note: {nom_editeur_antivirus} représente le nom d'un éditeur antivirus choisi aléatoirement parmi la liste suivante :

+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Panda AntiVirus - www.pandasoftware.com
+++ Norman AntiVirus - www.norman.com
+++ F-Secure AntiVirus - www.f-secure.com
+++ Norton AntiVirus - www.symantec.com


Le ver falsifie l'adresse de l'expéditeur du courriel. Il utilise la liste de noms suivant :

Leon
Tom
Marcus
Troy
Walter
Eric
Matthew
Kenneth
Charles
Tommy
Jim
Francisco
Ricky
Dennis
Scott
Jason
George
Richard
Lloyd
Jay
Leroy
Carl
Jerry
Frank
Kevin
Donald
David
Bill
Oscar
Mario
Henry
Joshua
Jeffrey
Anthony
Mark
William
Ronnie
Miguel
Bernard
Douglas
Gregory
Larry
Ronald
Paul
Michael
Jon
Clifford
Alexander
Harold
Raymond
Jose
Brian
Daniel
Robert
Alex
Theodore
Barry
Peter
Andrew
Timothy
Edward
Thomas
John
Calvin
Micheal
Randall
Patrick
Stephen
Gary
Steven
JosephJames


Le ver utilise la liste de noms de domaines suivante pour composer la fausse adresse de l'expéditeur:

@microsoft.com
@symantec.com


Porte dérobée

Le ver dépose dans le répertoire System de Windows un fichier nommé "TCP5424.dll". Celui-ci créait une clé afin d'être exécuté à chaque démarrage d'une session utilisateur :

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
@ = "%WinSysDir%\tcp5424.dll"


Note: "%WinSysDir%" représente le répertoire System de Windows.

Ce fichier .DLL est une porte dérobée qui écoute sur le port TCP 5424 en attente de commandes distantes. La porte dérobée autorise l'upload et l'exécution de fichiers sur la machine infectée.

Payload

Le ver modifie le fichier HOSTS afin de bloquer l'accès à certains sites web dont voici la liste :

www.pandasoftware.com
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com


Le ver créait également les clés suivantes dans la base de registre :

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"
"ICQ Net"


Message adressé aux éditeurs antivirus

Le ver contient un message adressé aux éditeurs antivirus :

Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol. This Will Drop W32.Scran P2P Worm

Ce message est extrait par le ver du fichier "msg15.txt" placé dans le répertoire System de Windows.




http://www.aideinfo.com/