Worm.Win32_Mytob-Q

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 58880 Octet(s)

Détails techniques:

A son exécution, Mytob-Q se copie dans divers endroits du lecteur :

%System%\ccsrs.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr


Afin de se lancer à chaque démarrage de Windows, Mytob-Q ajoute les entrées de registre suivantes :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WINTASKMGR = "ccsrs.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WINTASKMGR = "ccsrs.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\WINTASKMGR = "ccsrs.exe"


Il dépose et exécute ensuite le fichier C:\HELLMSN.EXE.

Mytob-Q crée aussi un mutex nommé "H-E-L-L-B-O-T" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

N.B. : Mytob-Q détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Mytob-Q modifie également les entrées de registre suivantes :

HKCU\Software\Microsoft\OLE\WINTASKMGR = "ccsrs.exe"
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\WINTASKMGR = "ccsrs.exe"
HKLM\Software\Microsoft\OLE\WINTASKMGR = "ccsrs.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\WINTASKMGR = "ccsrs.exe"


Ces dernières modifications de la base de registre sont exécutées par un thread ; permettant de réajouter ces entrées si elles venait à être modifier ou supprimer.


Distribution

Propagation par e-mail

Le ver cherche des adresses électroniques dans le carnet d'adresses de Outlook, référencé par cette valeur dans le registre :

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name

La recherche se poursuit dans le répertoire "Temporary Internet File" puis dans tous les lecteurs non-amovibles (de C: à Z:). Les fichiers recherchés portent les extensions suivantes :

adb
asp
dbx
htm
php
sht
tbb
txt
wab


Mytob-Q ne prend pas en compte les adresses comportant les mot :

anyone
bugs
ca
contact
feste
gold-certs
help
info
me
no
nobody
noone
not
nothing
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
spam
submit
the.bat
webmaster
www
you
your
.edu
.gov
.mil
abuse
accoun
acketst
admin
arin.
avp
berkeley
borlan
bsd
certific
example
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
icrosoft
ietf
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
mydomai
nodomai
ntivi
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
spam
spm
support
syma
tanford.e
unix
usenet
utgers.ed


Le ver peut se connecter à n'importe quel serveur de messagerie. Il tente d'utiliser l'un des serveurs SMTP dont les adresses sont listées dans cette clef de registre :

HKCU\Software\Microsoft\Internet Account Manager\Accounts

Si il échoue, il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée. Si il échoue encore, il tente une requête "DNS lookup" en utilisant les préfixes suivants :

gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.


Si cette manipulation fonctionne, le ver utilise cette adresse électronique du domaine en tant que nom d'utilisateur pour l'envoi de son e-mail :

Objet

{vierge}
{caractères aléatoire}
Good day
Hello
Mail Transaction Failed
Mail Delivery System
Server Report
Error
Status


Corps du message

- The original message was included as an attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- Here are your banks documents.

Pièce-jointe

body.zip
data.zip
doc.zip
readme.zip
test.zip
document.zip
file.zip
text.zip
message.zip


Le fichier contenu dans le fichier ZIP porte le même nom que ce dernier, cependant, les fichiers ont une double-extension ; la première est soit .txt soit .htm, suivi de beaucoup d'espaces puis la deuxième extension est l'une d'elles :

.pif
.exe
.bat
.scr
.cmd



Propagation dûe aux failles

Mytob-Q ouvre un serveur FTP sur le port 10087 de la machine infectée.

Le ver génère une liste d'adresses IP et tente de se connecter soit sur le port 445 de l'adresse cible afin d'exploiter une faille propre à Windows (LSASS : http://www.microsoft.com/technet/security/bulletin/MS03-011.mspx) ou sur le port 135, en exploitant encore une faille liée à Windows (DCOM RPC : http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx). Par l'intermédiaire de ces vulnérabilités, le ver tente d'exécuter un petit bout de code, sur l'ordinateur victime, lui permettant de créer un serveur FTP par lequel le ver sera transmis.


Propagation par MSN Messenger

Le fichier HELLMSN.EXE, déposé par Mytob-Q, vérifie l'existence des fichiers copiés :

c:\funny_pic.scr
c:\see_this!!.scr
c:\my_photo2005.scr


Le fichier tente ensuite de répandre le ver par MSN Messenger en envoyant des copies des 3 fichiers ci-dessus à tous les contacts connectés.


Concernant la porte dérobée, un utilisateur malveillant peut s'en servir pour contrôler l'ordinateur victime par IRC. Le ver se connecte à un serveur bien particulier et accède à un canal via le port 5599, attendant ensuite les commandes envoyées sur le canal. Ces dernières sont multiples :

- Téléchargement et exécution de fichiers
- Mise à jour du ver
- Obtention d'informations concernant l'ordinateur infecté
- Récupérer des informations sur le système pendant qu'il est en fonction
- Répandre le ver par la faille DCOM RPC

Mytob-Q modifie le fichier HOSTS afin de rediriger les noms de domaine suivants vers le localhost :

www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.microsoft.com
www.trendmicro.com





http://www.newdimension-fr.net/