Worm.Win32_Mytob-AB

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-AB se copie dans le répertoire %System% sous le nom de "win32.exe" et crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WIN32
win32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WIN32
win32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WIN32
win32.exe

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WIN32
win32.exe

HKCU\Software\Microsoft\OLE
WIN32
win32.exe

HKLM\SOFTWARE\Microsoft\Ole
WIN32
win32.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WIN32
win32.exe

Mytob-AB se copie également à la racine sous le noms suivants :
funny_pic.scr
my_photo2005.scr
see_this!!.scr

Mytob-AB crée un autre fichier à la racine nommé "hellmsn.exe". Ce fichier est détecté sous le nom "Mytob-D".

Afin d'empêcher l'accès aux sites Web de sécurité correspondants, Mytob-AB ajoute aussi au fichier HOSTS les éléments suivants :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

Les courriels envoyés par Mytob-AB ont les caractéristiques suivantes :

Objet :
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
thanks!
read it immediately
Good day
{vide}
{caractères aléatoires}


Corps du message :
Here are your banks documents.

The original message was included as an attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.

The message contains Unicode characters and has been sent as a binary
attachment.

Mail transaction failed. Partial message is available.

Le fichier joint contient un nom de base suivi des extensions BAT, CMD, PIF, SCR, EXE or ZIP. Le ver peut optionnellement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.

Mytob-AB collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.