Worm.Win32_MyDoom-BG

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, MyDoom-BG se copie dans le répertoire %System% de Windows sous le nom de "wfdmgr.exe" et créait les entrées de registre suivantes afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LSA
wfdmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
LSA
wfdmgr.exe

HKLM\Software\Microsoft\OLE
LSA
wfdmgr.exe

HKLM\System\CurrentControlSet\Control\Lsa
LSA
wfdmgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
LSA
wfdmgr.exe

HKCU\Software\Microsoft\OLE
LSA
wfdmgr.exe

HKCU\System\CurrentControlSet\Control\Lsa
LSA
wfdmgr.exe


Le ver tente de collecter des adresses électroniques sur le disque dur en passant en revue les fichiers portant les extensions WAB, PL, ADB, TBB, DBX, ASP, PHP, SHTL et HTM.

Les courriels envoyés par MyDoom-BG ont les caractéristiques suivantes :

L'objet est choisi aléatoirement parmi la liste suivante :

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi


Le corps du message est choisi aléatoirement parmi la liste suivante :

This is a multi-part message in MIME format.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Le nom de fichier de la pièce jointe porte une extension bat, cmd, exe, scr, pif ou zip et est choisi aléatoirement parmi la liste suivante :

message
test
data
file
text
doc
readme
document





http://www.lesdepeches.com/