Worm.Win32_Mytob-N

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-N se copie dans le répertoire %System% sous le nom "ccsrs.exe" et ajoute les entrées suivantes à la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKCU\Software\Microsoft\OLE
WINTASKMGR
ccsrs.exe

HKCU\System\CurrentControlSet\Control\Lsa
WINTASKMGR
ccsrs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASKMGR
ccsrs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WINTASKMGR
ccsrs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WINTASKMGR
ccsrs.exe


Mytob-N se copie également à la racine du disque sous les noms de fichier suivant :

funny_pic.scr
my_photo2005.scr
see_this!!.scr


Mytob-N tente également de modifier le fichier HOSTS pour empêcher l'accès à certains sites :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com


Le message électronique envoyé par Mytob-N possède les caractéristiques suivantes :

Object:
document
Good day
Hello
Mail Delivery System
Mail Transaction Failed
message
readme
Server Report
Status


Corps du message:

Here are your banks documents.

The original message was included as an attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Le fichier joint possède l'une des extensions suivants : PIF, SCR, EXE ou ZIP

Le ver évite d'envoyer ses e-mails aux adresses contenant les mots suivants :

.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
you
your





http://www.aideinfo.com/