Worm.Win32_Mytob-C

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 48766 Octet(s)

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Mytob-C se copie dans le répertoire "%System%" en tant que "wfdmgr.exe" et modifie la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LSA = "wfdmgr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\LSA = "wfdmgr.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LSA = "wfdmgr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LSA = "wfdmgr.exe"
HKCU\Software\Microsoft\OLE\LSA = "wfdmgr.exe"
HKLM\Software\Microsoft\OLE\LSA = "wfdmgr.exe"
HKCU\System\CurrentControlSet\Control\Lsa\LSA = "wfdmgr.exe"
HKLM\System\CurrentControlSet\Control\Lsa\LSA = "wfdmgr.exe"


Le ver crée également un mutex nommé "D66" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Methode de distribution

Via Messagerie électronique

Mytob-C est capable de se répandre par e-mail. Le ver envoi le message avec un objet, un corps de message et une pièce jointe aléatoires. L'adresse de l'expéditeur est partiellement spoofée; le nom de domaine est sélectionné en fonction de l'adresse e-mail du destinataire, mais le nom d'utilisateur est sélectionné aléatoirement parmi la liste suivante :

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom


Le ver se répand en envoyant son fichier infecté en pièce jointe à toutes les adresses trouvées sur l'ordinateur infecté. Ces adresses sont extraites du carnet d'adresses de Outlook et des fichiers ayant l'extension :

wab
adb
tbb
dbx
asp
php
sht
htm
pl


Le ver évite d'envoyer ses e-mails aux adresses contenant les mots suivants :

.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your


Le ver possède son propre client SMTP afin d'envoyer les courriels infectés. Il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée.

Si il ne parvient pas à trouver de serveur DNS en local, il tente d'utiliser celui de l'adresse e-mail de la personne infectée avec les sous domaines suivants :

mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
gate.


Par exemple: Pour l'adresse tester@test.com, le ver tente le MX "mx.test.com" ou "mail.test.com".

L'e-mail envoyé par le ver possède les caractéristiques suivantes :

L'objet du message est sélectionné aléatoirement parmi la liste suivante:

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
Hi
test


Le contenu du message est sélectionné aléatoirement parmi la liste suivante :

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test


Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante :

body
message
test
data
file
text
doc
readme
document


L'extension du fichier infecté peut être:

bat
cmd
exe
scr
pif
zip


Le ver peut également s'attacher en archive ZIP. Le fichier inclue dans l'archive peut avoir deux extensions, la première choisie parmi la liste suivante :

htm
txt
doc


La seconde (séparée par un certain nombre d'espaces de la première) parmi celle-ci :

pif
scr
exe


Par exemple: La pièce jointe "doc.zip" peut contenir le fichier "doc.txt[quelques espaces].pif"

Via IRC

Le ver essaie de se connecter à un serveur distant et un canal IRC (spécifiés en "dur" dans le ver) sur le port 6667.

Cette fonctionnalité permet à un utilisateur distant d'effectuer les opérations suivantes sur la machine infectée :
- Connaître des informations sur le ver
- Désactiver le ver
- Télécharger et exécuter des fichiers
- Supprimer des fichiers
- Mettre à jour le ver

Mytob-C tente également de se répandre en utilisant une faille propre à LSASS. Il se connecte au port 445 de la victime, exploite la vulnérabilité et se copie sur le système.




http://www.secuobs.com/