Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, MyDoom-BG se copie dans le répertoire %System% de Windows sous le nom de "wfdmgr.exe" et créait les entrées de registre suivantes afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LSA
wfdmgr.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
LSA
wfdmgr.exe
HKLM\Software\Microsoft\OLE
LSA
wfdmgr.exe
HKLM\System\CurrentControlSet\Control\Lsa
LSA
wfdmgr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
LSA
wfdmgr.exe
HKCU\Software\Microsoft\OLE
LSA
wfdmgr.exe
HKCU\System\CurrentControlSet\Control\Lsa
LSA
wfdmgr.exe
Le ver tente de collecter des adresses électroniques sur le disque dur en passant en revue les fichiers portant les extensions WAB, PL, ADB, TBB, DBX, ASP, PHP, SHTL et HTM.
Les courriels envoyés par MyDoom-BG ont les caractéristiques suivantes :
L'objet est choisi aléatoirement parmi la liste suivante :
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Le corps du message est choisi aléatoirement parmi la liste suivante :
This is a multi-part message in MIME format.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Le nom de fichier de la pièce jointe porte une extension bat, cmd, exe, scr, pif ou zip et est choisi aléatoirement parmi la liste suivante :
message
test
data
file
text
doc
readme
document