Worm.Win32_MyDoom-BH

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, MyDoom-BH affiche une boîte de dialogue avec le titre "AVToolKitPro" et le message "Operation completed".

Il se copie ensuite dans le répertoire %System% sous le nom de fichier "debugmonitor.exe" et crée l'entrée suivante dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DebugMonitor
%SYSTEM%\debugmonitor.exe


Le ver tente également de se copier dans le répertoire de partage KaZaa s'il existe, en utilisant l'un des noms de fichiers suivants et une extension choisie parmi PIF, SCR, EXE ou BAT :

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5


MyDoom-BH collecte des adresses électroniques dans les fichiers présents sur les lecteurs locaux avec les extensions suivantes :

WAB
PL
ADB
TBB
DBX
ASP
PHP
SHT
HTM
TXT


Les courriels envoyés par le ver sont au format HTML et possèdent les caractéristiques suivantes :

Objet : Virus Alert id: {numéro aléatoire}

Corps du message :
You received this message as a valuable
Symantec.com member since September 23, 2003.
************************************************************
WARNING! Your computer was infected by VIRUS:
Worm.SomeFool.P
You can install this utility to remove virus
************************************************************
http://securityresponse.symantec.com/avcenter/FxAgentB.exe



MyDoom-BH peut également tenter de télécharger et exécuter des composants provenant de sites web distants.




http://www.secuobs.com/