Worm.Win32_Mytob-D

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 48766 Octet(s)

Détails techniques:

A son exécution, Mytob-D se copie sous le nom %System%\wfdmgr.exe.

N.B. : Le ver détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Afin de s'exécuter à chaque démarrage de Windows, il ajoute les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LSA = "wfdmgr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\LSA = "wfdmgr.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LSA = "wfdmgr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LSA = "wfdmgr.exe"
HKCU\Software\Microsoft\OLE\LSA = "wfdmgr.exe"
HKLM\Software\Microsoft\OLE\LSA = "wfdmgr.exe"
HKCU\System\CurrentControlSet\Control\Lsa\LSA = "wfdmgr.exe"
HKLM\System\CurrentControlSet\Control\Lsa\LSA = "wfdmgr.exe"

Le ver crée également un mutex nommé "D66" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.


Méthode de distribution

Le ver envoi un e-mail avec un objet, un corps de message et une pièce jointe aléatoires. L'adresse de l'expéditeur est partiellement spoofée; le nom de domaine est sélectionné en fonction de l'adresse e-mail du destinataire, mais le nom d'utilisateur est sélectionné aléatoirement parmi la liste suivante :

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Le ver prend les adresses e-mails du carnet d'adresses de Outlook et des fichiers ayant pour extensions :

wab
adb
tbb
dbx
asp
php
sht
htm
pl

Le ver évite d'envoyer ses e-mails aux adresses contenant les mots suivants :

.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

Le ver possède son propre client SMTP afin d'envoyer les courriels infectés. Il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée.

Si il ne parvient pas à trouver de serveur DNS en local, il tente d'utiliser celui de l'adresse e-mail de la personne infectée avec les sous domaines suivants :

mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
gate.

Par exemple: Pour l'adresse tester@test.com, le ver tente le MX "mx.test.com" ou "mail.test.com".

L'e-mail envoyé par le ver possède les caractéristiques suivantes :

Objet

L'objet du message est sélectionné aléatoirement parmi la liste suivante :

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
Hi
test

Corps du message

Il peut contenir l'une des phrases suivantes :

- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- test

Pièce-jointe

Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante :

body
message
test
data
file
text
doc
readme
document

Avec l'une des extensions suivantes :

bat
cmd
exe
scr
pif
zip

Le ver peut également s'attacher en archive ZIP. Le fichier inclue dans l'archive peut avoir deux extensions, la première choisie parmi la liste suivante :

htm
txt
doc

La seconde (séparée par un nombre conséquent d'espaces de la première) parmi celle-ci :

pif
scr
exe

Par exemple : La pièce jointe "doc.zip" peut contenir le fichier "doc.txt{beaucoup d'espaces}.pif".


Vulnérabilité Windows (Port 445)

Mytob-D exploite une faille liée à LSASS (plus d'informations : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)

Mytob-D crée un serveur FTP sur un port aléatoire de la machine infectée afin de recevoir des copies du ver.

Le ver génère des adresses IP aléatoires et tente de se connecter au port 445 de ses IP, afin d'exploiter un dépassement de tampon lié à LSASS. Si l'exploit est concluant, le ver exécute un bout de code sur la machine victime ; ce qui aura pour effet de connecter la machine victime, sur la machine attaquante, pour recevoir une copie du ver (celui-ci sera télédécharger à l'aide du serveur FTP créé).


Porte-dérobée

Le ver essaie de se connecter sur un serveur et un canal IRC particulier. Il attendra les instructions à exécuter sur la machine infectée, telles que :

- Télécharger des fichiers
- Télécharger d'autres versions du ver
- Exécuter des fichiers
- Fournir des informations sur la version du ver installé
- Fournir à l'attaquant distant des informations temps réel sur la machine infectée