Worm.Win32_Mytob-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 42512 Octet(s)
Détails techniques:
A l'exécution, le ver se copie dans le répertoire %System sous le nom "msnmsgr.exe" et crée le mutex "D66".
Note : Mytob-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Pour se lancer à chaque démarrage du système d'exploitation, il ajoute les entrées de registres suivantes :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
"MSN" = "msnmsgr.exe"
Propagation par e-mail
Le ver se répand en envoyant son fichier infecté en pièce-jointe, à toutes les adresses trouvées sur l'ordinateur infecté. Ces adresses sont extraites du carnet d'adresses de Outlook et des fichiers ayant l'extension :
htm
sht
php
asp
dbx
tbb
adb
wab
pl
Le ver évite d'envoyer ses e-mails aux adresses contenant les mots suivants :
accoun
acketst
admin
anyone
arin.
be_loyal
berkeley
borlan
bugs
certific
contact
.edu
example
feste
fido
foo.
fsf.
gold-certs
google
.gov
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
.mil
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
nothing
ntivi
page
panda
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
your
Voici les caractéristiques de l'e-mail :
Sujet
il est choisie au hasard parmi ceux-là :
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Corps
-The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
-Mail transaction failed. Partial message is available.
-test
-The message contains Unicode characters and has been sent as a binary attachment.
- {pas de corps}
- {données aléatoires}
Pièce-jointe
Son nom peut avoir l'un des mots suivants :
body
message
test
data
file
text
doc
Et l'une des extensions suivantes :
bat
cmd
exe
scr
pif
IRC
Le ver essaie de se connecter à un serveur et un canal IRC (spécifiés en "dur" dans le ver) sur le port 6667.
La personne possédant ses informations pourra faire ce qui suit :
- Connaître des informations sur le ver
- Désactiver le ver
- Télécharger et exécuter des fichiers
- Supprimer des fichiers
- Mettre à jour le ver
Mytob-A tente également de se répandre en utilisant une faille propre à LSASS. Il se connecte au port 445 de la victime, exploite la vulnérabilité et se copie sur le système
Vous trouverez ici les informations liées à cette faille.
Taille: 42512 Octet(s)
Détails techniques:
A l'exécution, le ver se copie dans le répertoire %System sous le nom "msnmsgr.exe" et crée le mutex "D66".
Note : Mytob-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Pour se lancer à chaque démarrage du système d'exploitation, il ajoute les entrées de registres suivantes :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
"MSN" = "msnmsgr.exe"
Propagation par e-mail
Le ver se répand en envoyant son fichier infecté en pièce-jointe, à toutes les adresses trouvées sur l'ordinateur infecté. Ces adresses sont extraites du carnet d'adresses de Outlook et des fichiers ayant l'extension :
htm
sht
php
asp
dbx
tbb
adb
wab
pl
Le ver évite d'envoyer ses e-mails aux adresses contenant les mots suivants :
accoun
acketst
admin
anyone
arin.
be_loyal
berkeley
borlan
bugs
certific
contact
.edu
example
feste
fido
foo.
fsf.
gold-certs
.gov
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
.mil
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
nothing
ntivi
page
panda
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
your
Voici les caractéristiques de l'e-mail :
Sujet
il est choisie au hasard parmi ceux-là :
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Corps
-The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
-Mail transaction failed. Partial message is available.
-test
-The message contains Unicode characters and has been sent as a binary attachment.
- {pas de corps}
- {données aléatoires}
Pièce-jointe
Son nom peut avoir l'un des mots suivants :
body
message
test
data
file
text
doc
Et l'une des extensions suivantes :
bat
cmd
exe
scr
pif
IRC
Le ver essaie de se connecter à un serveur et un canal IRC (spécifiés en "dur" dans le ver) sur le port 6667.
La personne possédant ses informations pourra faire ce qui suit :
- Connaître des informations sur le ver
- Désactiver le ver
- Télécharger et exécuter des fichiers
- Supprimer des fichiers
- Mettre à jour le ver
Mytob-A tente également de se répandre en utilisant une faille propre à LSASS. Il se connecte au port 445 de la victime, exploite la vulnérabilité et se copie sur le système
Vous trouverez ici les informations liées à cette faille.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
