Worm.Win32_MyDoom-AM

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 32768 Octet(s)

Détails techniques:

Le ver est un fichier exécutable PE (Portable Executable) de 32768 octets compressé avec UPX. Le fichier décompressé fait plus de 76 Kilo octets.

Installation sur le système

Lorsqu'il est exécuté, le ver dépose un fichier nommé "Mes#wtelw" dans le répertoire temporaire. Puis il y écrit quelques données et l'exécute avec NotePad.

Après que NotePad soit fermé, le ver créait un mutex nommé "-=RTSW.Smash 0a2a0=-" dans le but de ne pas être exécuté plusieurs fois sur la machine infectée.

Il se copie ensuite en tant que :
%Sysdir%\lsasrv.exe

Note: "%Sysdir%" représente le répertoire System de Windows.

Il dépose également les fichiers suivants:
%Sysdir%\version.ini
hserv.sys


version.ini contient le numéro de version du ver (0.20) et hserv.sys est un fichier encrypté contenant des liens vers des sites web que le ver utilise pour exécuter certaines instructions.

Le ver ajoute les clés de registre suivantes afin d'être exécuté à chaque démarrage d'un session utilisateur :

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass" = %Sysdir%\lsasrv.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "explorer.exe %Sysdir%\lsasrv.exe"


Propagation par courriel

Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows mais également dans les fichiers ayant l'un des extensions suivantes :

txt
htm
sht
php
cgi
hta
htc
xht
stm
ssi
inc
jsp
xml
dlt
xsd
xst
rss
rdf
lbi
dwt
asa
asc
asm
csp
vbp
conf
tpl
jst
wml
vbs
edm
asp
dbx
tbb
adb
wab


En revanche, le ver n'envoie pas de messages aux adresses contenant l'une des chaînes de caractères suivantes :

avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla


L'objet du message est sélectionné aléatoirement parmi la liste suivante:

Good day
Do not reply to this email
hello
Mail Delivery System
Attention!!!
Mail Transaction Failed
Server Report
Status
Error


Le contenu du message est sélectionné aléatoirement parmi la liste suivante :

Mail transaction failed. Partial message is available.


The message contains Unicode characters and has been sent as a binary attachment.


The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.


Attention! New self-spreading virus!
Be careful, a new self-spreading virus called "RTSW.Smash"
spreading very fast via e-mail and P2P networks. It's about
two million people infected and it will be more. To avoid
your infection by this virus and to stop it we provide you
with full information how to protect yourself against it and
also including free remover. Your can find it in the attachment.
(c) 2004 Networks Associates Technology, Inc. All Rights Reserved


New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders using
a credit cards for making purchase in the Internet in the attachment.
Please, read it carefully. If you are not agree with new terms and
conditions do not use your credit card in the World Wide Web.
Thank you, The World Bank Group
(c) 2004 The World Bank Group, All Rights Reserved


Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the
attachment file. It's a real good choise to go to
WORLDXXXPASS.COM


Attention! Your IP was logged by The Internet Fraud Complaint Center
Your IP was logged by The Internet Fraud Complaint Center. There was
a fraud attempt logged by The Internet Fraud Complaint Center from
your IP. This is a serious crime, so all records was sent to the FBI.
All information you can find in the attachment. Your IP was flagged
and if there will be anover attemption you will be busted.
This message is brought to you by the Federal Bureau of Investigation
and the National White Collar Crime Center


Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante :

document
readme
doc
rules
file
data
docs
message
body


L'extension du fichier infecté peut être:

.bat
.cmd
.exe
.scr
.pif


Propagation par les réseaux P2P

Le ver se copie dans les répertoires utilisés par Kazaa, Morpheus, iMesh, eDonkey et Limewire. Il utilise alors l'un des noms de fichiers suivants:

winamp5
icq2004-final
activation_crack
K-LiteCodecPack2.34a
dcom_patches
adultpaawds
winxp_patch
Ad-awarere
avpprokey
NeroBROM6.3.1.27
porno


L'extension du fichier infecté peut être:

.bat
.exe
.pif
.bat


Payload

Le ver tente de se connecter sur certains sites web et d'y télécharger des fichiers.

Le ver modifie le fichier HOSTS afin de bloquer l'accès à certains sites web dont voici la liste :

www.symantec.com
securityresponse.symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
www.f-secure.com
f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
avp.com
www.kaspersky.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
www.my-etrust.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
www.trendmicro.com
trendmicro.com
www.grisoft.com
grisoft.com


Il tente également de terminer les processus de certains pare-feux et antivirus.




http://www.hackers-news.com/