Worm.Win32_Mytob-B

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 41984 Octet(s)

Détails techniques:

A l'exécution, le ver se copie dans le répertoire %System sous le nom "msnmsgr.exe" et crée le mutex "D66".

Note : Mytob-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Pour se lancer à chaque démarrage du système d'exploitation, il ajoute les entrées de registres suivantes :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
"MSN" = "msnmsgr.exe"


Propagation par e-mail

Le ver se répand en envoyant son fichier infecté en pièce-jointe, à toutes les adresses trouvées sur l'ordinateur infecté. Ces adresses sont extraites du carnet d'adresses de Outlook et des fichiers ayant l'extension :

.wab
.adb
.tbb
.dbx
.asp
.php
.sht
.htm

Le ver évite d'envoyer ses e-mails aux adresses contenant les mots suivants :

-._!
-._!@
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
ca
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

Ajoute les préfixes suivants aux noms de domaine afin de trouver un serveur SMTP :

gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.

Enfin, il tente d'envoyer son e-mail aux adresses e-mails trouvées sur la machine infectée.

L'e-mail contient les caractéristiques suivantes :

Sujet

il est choisie au hasard parmi ceux-là :

hello
hi
error
status
test
Mail Transaction Failed
Mail Delivery System
SERVER REPORT
{Pas de sujet}
{Lettres aléatoires}

Corps

Le corps du message est choisie au hasard parmi ceux-là :

- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- test
- The message contains Unicode characters and has been sent as a binary attachment.
{Pas de corps}
{Données aléatoires}

Pièce-jointe

Son nom contient l'un des mots suivants :

- body
data
doc
document
file
message
readme
test
text
{Caractères aléatoires}

Et l'une des extensions suivantes :

.bat
.cmd
.exe
.pif
.scr
.zip

IRC

Le ver essaie de se connecter à un serveur (irc.blackcarder.net) et un canal IRC (spécifiés en "dur" dans le ver) sur le port 6667.
La personne possédant ses informations pourra faire ce qui suit :

- Connaître des informations sur le ver
- Désactiver le ver
- Télécharger et exécuter des fichiers
- Supprimer des fichiers
- Mettre à jour le ver


Mytob-B tente également de se répandre en utilisant une faille propre à LSASS. Il se connecte au port 445 de la victime, exploite la vulnérabilité et se copie sur le système

Vous trouverez ici les informations liées à cette faille.