Worm.Win32_MyDoom-AY

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 26013 Octet(s)

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Mydoom-AY se copie en tant que "%Windows%\java.exe"

Il modifie ensuite la base de registre système afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JavaVM = "%Windows%\java.exe"

Note: '%Windows%' est une variable de localisation. Mydoom-AY détermine le chemin du répertoire de Windows en effectuant une requête au système d'exploitation. Le répertoire Windows par défaut pour Windows 2000 et NT est C:\Winnt; pour 95,98 et ME est C:\Windows\; et pour XP est C:\Windows\.

Il dépose également le fichier "%Windows%\services.exe", qui modifie la base de registre pour s'exécuter à chaque démarrage d'une session utilisateur :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services = "%Windows%\services.exe"

Par ailleurs, MyDoom-AY créait un mutex (généré en combinant le nom de la machine infectée avec le mot "root" répété plusieurs fois) pour s'assurer qu'une seule copie du ver ne fonctionne en même temps sur une machine infectée.

Méthode de distribution

Via la messagerie électronique

Mydoom-AY tente de récupérer l'ensemble des adresses électronique du Carnet d'adresse de Windows. Il collecte également les adresses sur le disque dur (de C: à Z:), en cherchant plus particulièrement dans les fichiers ayant les extensions suivantes :

.tx*
.wab*
.ph*
.pl*
.sht*
.dbx*
.asp*
.adb*
.tbb*
.ht*

La particularité de cette version de MyDoom est que le ver utilise les moteurs de recherche, tels que (avec le pourcentage pour chacun d'être utilisé) : Lycos(22,5 %), Altavista(12,5 %), Yahoo(20 %) et Google (45 %) pour récolter des adresses e-mail. Le nombre de résultats affiché lors d'une requête est sélectionné aléatoirement entre 20, 50 ou 100.

Le ver choisit un mot-clef parmi lesquels : "contact", "reply", "mail", "mailto", "email" et "e-mail" et l'utilise pour chercher sur l'Internet d'autres adresses e-mail. Le ver stocke ses résultats dans un fichier temporaire et analyse ce dernier pour en extraire uniquement les adresses e-mail.

Cependant, il ignore les adresses comportant l'une des chaînes de caractères suivantes:

info
noone
nobody
nothing
anyone
someone
your
you
me
rating
site
soft
no
foo
help
not
feste
ca
gold-certs
the.bat
page
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d
syma
sarc.
microsoft
msdn.
msn.
hotmail
panda
spersk
yahoo
sophos
example
domain
uslis
update
trend
foo.com
bar.
secur
seclist
gmail
gnu.
google
arin.
ripe.
sourceforge
sf.net
rarsoft
winzip
winrar

Le ver possède son propre serveur SMTP afin d'envoyer les courriels infectés. Les messages envoyés par le ver ont les caractéristiques suivantes :

L'objet est choisi aléatoirement parmi la liste suivante :

hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error

Le corps du message est choisi aléatoirement parmi la liste suivante :

{The ou Your} {message ou Message} could not be delivered.

----------

The original message was included as attachment

----------

The original message was received at {heure ou "vide"}
from {serveur e-mail}{adresse IP aléatoire}
----- The following addresses had permanent fatal errors -----
{adresse du ou des destinataires}
----- Transcript of {the ou "vide"} session follows -----
... while talking to {{host ou mail ou "vide"} server} {nom du serveur destinataire}. ou {adresse IP aléatoire}}:

Le ver associe un ou plusieurs de ces messages suivants :

- >>> MAIL [From ou FROM]:{serveur expéditeur}

- <<<50{nombre aléatoire} {{serveur expéditeur} ou "vide"}{Refused ou {Access [denied ou Denied}}}

- {User ou Domain ou Address} {unknown ou blacklisted}

- 554 {{serveur destinataire}}... {Mail quota exceeded ou Message is too large}

- 554 {{serveur destinataire}}... Service unavailable

- 550 5.1.2 {{serveur destinataire}}... Host unknown (Name server: host not found)

- 554 {5.0.0 ou "vide"}Service unavailable; {adresse IP aléatoire} blocked using {relays.osirusoft.com ou bl.spamcop.net}{, reason: Blocked ou "vide"}

- Session aborted{, reason: lost connection ou "vide"}

- >>> RCPT To:{adresse destinataire}

- <<<550 {MAILBOX NOT FOUND ou 5.1.1 {adresse destinataire}... {User unknown ou Invalid recipient ou Not known here ou "vide"}

- >>> DATA ou "vide"

- <<<400-aturner; %MAIL-E-OPENOUT, error opening !AS as output

- <<<400-aturner; -RMS-E-CRE, ACP file create failed

- <<<400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded

- <<<400

- "vide"

----------

Dear user {{serveur destinataire} ou of {serveur destinataire}}, {{Mail ou mail} {system ou server} {administrator ou administration} of {serveur destinataire} would like to {inform you that{: ou ,}} ou let you know {that ou the following}{. ou : ou ,} ou "vide"}

We have {detected ou found ou received} reports that {your ou Your} {e-mail ou email} account {has been ou was} used to send a {large ou huge} amount of {{unsolicited { commercial ou "vide"}} ou junk} {e-mail ou email ou spam}{ messages ou "vide"} {during this ou the {last ou recent}} week.
{We suspect that ou Probably, ou Most likely ou Obviously,} your computer {had been ou was} {compromised ou infected { by a recent virus ou "vide"} and now {runs ou contains} a {trojan ou trojaned ou "vide" ou hidden} proxy server.
{Please ou We recommend {that you ou you to}} follow {our ou the ou "vide"}instructions ou instruction} {in the {attachment ou attached {text ou file} ou "vide"} in order to keep your computer safe.

{{Virtually ou Sincerely} yours ou Best {wishes ou regards ou Have a nice day}, {{serveur destinataire} {user ou technical ou "vide"} support team. ou The {serveur destinataire} {support ou "vide"} team.

----------

[The or This or Your] message was[ undeliverable or not delivered] due to the following [reasons or reason]:

Your message [was not or could not be] delivered because the destination [computer or server] was
[not or un]reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.

Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message [was not or could not be] delivered within (a random digit) days:
[[Mail [server or Server]] or Host] (random IP)) is not responding.

The following recipients [did or could] not receive this message:
<(recipient address)>

Please reply to postmaster@[(sender domain) or (recipient domain)]
if you feel this message to be in error.

Le ver s'attache ensuite au message infecté en utilisant l'un des noms suivant :

readme
instruction
transcript
mail
letter
file
text
attachment
document
message

avec l'un des extensions suivantes :

cmd
bat
com
exe
pif
scr

N.B. : Le nom de la pièce jointe peut être l'adresse e-mail du destinataire.

Le fichier joint peut être un fichier ZIP ayant une "double extension" : .doc, .txt, .htm ou .html ; suivie de plusieurs espaces puis de l'extension réelle.

Payload

Le ver tente de fermer les fenêtres ayant l'un des noms suivants :

rctrl_renwnd32
ATH_Note
IEFrame

Téléchargement et exécution de fichiers arbitraires

Mydoom-AY tente de télécharger et exécuter des fichiers d'un des domaines suivants :

www.aartanridge.org.uk
www.eastcoastchoons.co.uk
www.foxalpha.com
www.ribaforada.net
www.sundayriders.co.uk
www.foxalpha.com
www.hooping.org
www.imogenheap.co.uk
www.newgenerationcomics.net

Informations complémentaires

Mydoom-AY créait également les clés de registre suivantes :

HKCU\SOFTWARE\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon