Worm.Win32_MyDoom-AU
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 25771 Octet(s)
Détails techniques:
Procédure d'infection
Quand il est exécuté, MyDoom-AU se copie sous le nom %Windir%\java.exe et ajoute le fichier %Windir%\services.exe.
Pour être lancé à chaque démarrage de Windows, MyDoom-AU ajoute les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JavaVM = "%Windir%\java.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services = "%Windir%\services.exe"
N.B. : MyDoom-AU détermine l'emplacement du répertoire %Windir% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt et sous Windows 95/98/Me/XP, c'est C:\Windows.
Par ailleurs, MyDoom-AU crée un mutex (généré en combinant le nom de la machine infectée avec le mot "root" répété plusieurs fois) pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.
Procédure de distribution
Le ver part à la recherche d'adresses e-mail sur tout les disques durs non amovibles. Il visite les fichiers ayant les extensions suivantes :
.tx*
.wab*
.ph*
.pl*
.sht*
.dbx*
.asp*
.adb*
.tbb*
.ht*
La particularité de cette version de MyDoom est que le ver utilise les moteurs de recherche, tels que (avec le pourcentage pour chacun d'être utilisé) : Lycos(22,5 %), Altavista(12,5 %), Yahoo(20 %) et Google (45 %) pour récolter des adresses e-mail. Le nombre de résultats affiché lors d'une requête est séléctionné aléatoirement entre 20, 50 ou 100.
Le ver choisit un mot-clef parmi lesquels : "contact", "reply", "mail", "mailto", "email" et "e-mail" et l'utilise pour chercher sur l'Internet d'autres adresses e-mail. Le ver stocke ses résultats dans un fichier temporaire et analyse ce dernier pour en extraire uniquement les adresses e-mail.
Cependant, il ignore les adresses comportant les mots :
info
noone
nobody
nothing
anyone
someone
your
you
me
rating
site
soft
no
foo
help
not
feste
ca
gold-certs
the.bat
page
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d
syma
sarc.
microsoft
msdn.
msn.
hotmail
panda
spersk
yahoo
sophos
example
domain
uslis
update
trend
foo.com
bar.
secur
seclist
gmail
gnu.
google
arin.
ripe.
sourceforge
sf.net
rarsoft
winzip
winrar
E-mail
Voici les caractéristiques des e-mails qui sont générés par le ver :
Sujet
Le ver choisit l'un des sujets suivants :
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Corps du message
Le ver choisit l'un des messages suivants (voir Capture d'écran):
{The ou Your} {message ou Message} could not be delivered.
----------
The original message was included as attachment
----------
The original message was received at {heure ou "vide"}
from {serveur e-mail}{adresse IP aléatoire}
----- The following addresses had permanent fatal errors -----
{adresse du ou des destinataires}
----- Transcript of {the ou "vide"} session follows -----
... while talking to {{host ou mail ou "vide"} server} {nom du serveur destinataire}. ou {adresse IP aléatoire}}:
Le ver associe un ou plusieurs de ces messages suivants :
- >>> MAIL [From ou FROM]:{serveur expéditeur}
- <<<50{nombre aléatoire} {{serveur expéditeur} ou "vide"}{Refused ou {Access [denied ou Denied}}}
- {User ou Domain ou Address} {unknown ou blacklisted}
- 554 {{serveur destinataire}}... {Mail quota exceeded ou Message is too large}
- 554 {{serveur destinataire}}... Service unavailable
- 550 5.1.2 {{serveur destinataire}}... Host unknown (Name server: host not found)
- 554 {5.0.0 ou "vide"}Service unavailable; {adresse IP aléatoire} blocked using {relays.osirusoft.com ou bl.spamcop.net}{, reason: Blocked ou "vide"}
- Session aborted{, reason: lost connection ou "vide"}
- >>> RCPT To:{adresse destinataire}
- <<<550 {MAILBOX NOT FOUND ou 5.1.1 {adresse destinataire}... {User unknown ou Invalid recipient ou Not known here ou "vide"}
- >>> DATA ou "vide"
- <<<400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
- <<<400-aturner; -RMS-E-CRE, ACP file create failed
- <<<400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
- <<<400
- "vide"
----------
Dear user {{serveur destinataire} ou of {serveur destinataire}}, {{Mail ou mail} {system ou server} {administrator ou administration} of {serveur destinataire} would like to {inform you that{: ou ,}} ou let you know {that ou the following}{. ou : ou ,} ou "vide"}
We have {detected ou found ou received} reports that {your ou Your} {e-mail ou email} account {has been ou was} used to send a {large ou huge} amount of {{unsolicited { commercial ou "vide"}} ou junk} {e-mail ou email ou spam}{ messages ou "vide"} {during this ou the {last ou recent}} week.
{We suspect that ou Probably, ou Most likely ou Obviously,} your computer {had been ou was} {compromised ou infected { by a recent virus ou "vide"} and now {runs ou contains} a {trojan ou trojaned ou "vide" ou hidden} proxy server.
{Please ou We recommend {that you ou you to}} follow {our ou the ou "vide"}instructions ou instruction} {in the {attachment ou attached {text ou file} ou "vide"} in order to keep your computer safe.
{{Virtually ou Sincerely} yours ou Best {wishes ou regards ou Have a nice day}, {{serveur destinataire} {user ou technical ou "vide"} support team. ou The {serveur destinataire} {support ou "vide"} team.
Pièce-jointe
Le nom de la pièce-jointe est choisi aléatoirement parmi ces noms :
readme
instruction
transcript
mail
letter
file
text
attachment
document
message
Avec l'une des extensions suivantes :
cmd
bat
com
exe
pif
scr
N.B. : Le nom de la pièce-jointe peut être l'adresse e-mail du destinataire.
Le fichier joint peut être un fichier ZIP ayant une "double extension" : .doc, .txt, .htm ou .html ; suivie de plusieurs espaces puis de l'extension réelle.
Autres fonctions
MyDoom-AU crée les entrées de registre suivante :
HKCU\SOFTWARE\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon
Le ver essaie de fermer les fenêtres ayant pour noms :
rctrl_renwnd32
ATH_Note
IEFrame
MyDoom-AU tente de télécharger et d'exécuter un fichier malvaillant (une variante du cheval de troie Gavvo) depuis le site :
www.aoprojecteden.org
Capture(s) d'écran:
Taille: 25771 Octet(s)
Détails techniques:
Procédure d'infection
Quand il est exécuté, MyDoom-AU se copie sous le nom %Windir%\java.exe et ajoute le fichier %Windir%\services.exe.
Pour être lancé à chaque démarrage de Windows, MyDoom-AU ajoute les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JavaVM = "%Windir%\java.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services = "%Windir%\services.exe"
N.B. : MyDoom-AU détermine l'emplacement du répertoire %Windir% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt et sous Windows 95/98/Me/XP, c'est C:\Windows.
Par ailleurs, MyDoom-AU crée un mutex (généré en combinant le nom de la machine infectée avec le mot "root" répété plusieurs fois) pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.
Procédure de distribution
Le ver part à la recherche d'adresses e-mail sur tout les disques durs non amovibles. Il visite les fichiers ayant les extensions suivantes :
.tx*
.wab*
.ph*
.pl*
.sht*
.dbx*
.asp*
.adb*
.tbb*
.ht*
La particularité de cette version de MyDoom est que le ver utilise les moteurs de recherche, tels que (avec le pourcentage pour chacun d'être utilisé) : Lycos(22,5 %), Altavista(12,5 %), Yahoo(20 %) et Google (45 %) pour récolter des adresses e-mail. Le nombre de résultats affiché lors d'une requête est séléctionné aléatoirement entre 20, 50 ou 100.
Le ver choisit un mot-clef parmi lesquels : "contact", "reply", "mail", "mailto", "email" et "e-mail" et l'utilise pour chercher sur l'Internet d'autres adresses e-mail. Le ver stocke ses résultats dans un fichier temporaire et analyse ce dernier pour en extraire uniquement les adresses e-mail.
Cependant, il ignore les adresses comportant les mots :
info
noone
nobody
nothing
anyone
someone
your
you
me
rating
site
soft
no
foo
help
not
feste
ca
gold-certs
the.bat
page
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d
syma
sarc.
microsoft
msdn.
msn.
hotmail
panda
spersk
yahoo
sophos
example
domain
uslis
update
trend
foo.com
bar.
secur
seclist
gmail
gnu.
arin.
ripe.
sourceforge
sf.net
rarsoft
winzip
winrar
Voici les caractéristiques des e-mails qui sont générés par le ver :
Sujet
Le ver choisit l'un des sujets suivants :
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Corps du message
Le ver choisit l'un des messages suivants (voir Capture d'écran):
{The ou Your} {message ou Message} could not be delivered.
----------
The original message was included as attachment
----------
The original message was received at {heure ou "vide"}
from {serveur e-mail}{adresse IP aléatoire}
----- The following addresses had permanent fatal errors -----
{adresse du ou des destinataires}
----- Transcript of {the ou "vide"} session follows -----
... while talking to {{host ou mail ou "vide"} server} {nom du serveur destinataire}. ou {adresse IP aléatoire}}:
Le ver associe un ou plusieurs de ces messages suivants :
- >>> MAIL [From ou FROM]:{serveur expéditeur}
- <<<50{nombre aléatoire} {{serveur expéditeur} ou "vide"}{Refused ou {Access [denied ou Denied}}}
- {User ou Domain ou Address} {unknown ou blacklisted}
- 554 {{serveur destinataire}}... {Mail quota exceeded ou Message is too large}
- 554 {{serveur destinataire}}... Service unavailable
- 550 5.1.2 {{serveur destinataire}}... Host unknown (Name server: host not found)
- 554 {5.0.0 ou "vide"}Service unavailable; {adresse IP aléatoire} blocked using {relays.osirusoft.com ou bl.spamcop.net}{, reason: Blocked ou "vide"}
- Session aborted{, reason: lost connection ou "vide"}
- >>> RCPT To:{adresse destinataire}
- <<<550 {MAILBOX NOT FOUND ou 5.1.1 {adresse destinataire}... {User unknown ou Invalid recipient ou Not known here ou "vide"}
- >>> DATA ou "vide"
- <<<400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
- <<<400-aturner; -RMS-E-CRE, ACP file create failed
- <<<400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
- <<<400
- "vide"
----------
Dear user {{serveur destinataire} ou of {serveur destinataire}}, {{Mail ou mail} {system ou server} {administrator ou administration} of {serveur destinataire} would like to {inform you that{: ou ,}} ou let you know {that ou the following}{. ou : ou ,} ou "vide"}
We have {detected ou found ou received} reports that {your ou Your} {e-mail ou email} account {has been ou was} used to send a {large ou huge} amount of {{unsolicited { commercial ou "vide"}} ou junk} {e-mail ou email ou spam}{ messages ou "vide"} {during this ou the {last ou recent}} week.
{We suspect that ou Probably, ou Most likely ou Obviously,} your computer {had been ou was} {compromised ou infected { by a recent virus ou "vide"} and now {runs ou contains} a {trojan ou trojaned ou "vide" ou hidden} proxy server.
{Please ou We recommend {that you ou you to}} follow {our ou the ou "vide"}instructions ou instruction} {in the {attachment ou attached {text ou file} ou "vide"} in order to keep your computer safe.
{{Virtually ou Sincerely} yours ou Best {wishes ou regards ou Have a nice day}, {{serveur destinataire} {user ou technical ou "vide"} support team. ou The {serveur destinataire} {support ou "vide"} team.
Pièce-jointe
Le nom de la pièce-jointe est choisi aléatoirement parmi ces noms :
readme
instruction
transcript
letter
file
text
attachment
document
message
Avec l'une des extensions suivantes :
cmd
bat
com
exe
pif
scr
N.B. : Le nom de la pièce-jointe peut être l'adresse e-mail du destinataire.
Le fichier joint peut être un fichier ZIP ayant une "double extension" : .doc, .txt, .htm ou .html ; suivie de plusieurs espaces puis de l'extension réelle.
Autres fonctions
MyDoom-AU crée les entrées de registre suivante :
HKCU\SOFTWARE\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon
Le ver essaie de fermer les fenêtres ayant pour noms :
rctrl_renwnd32
ATH_Note
IEFrame
MyDoom-AU tente de télécharger et d'exécuter un fichier malvaillant (une variante du cheval de troie Gavvo) depuis le site :
www.aoprojecteden.org
Capture(s) d'écran:
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
