Worm.Win32_MyDoom-AJ

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, MyDoom-AJ se copie dans le répertoire %System% sous le nom de "mathchk.exe" et, pour démarrer automatiquement, crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RealPlayer Ath Check=
mathchk.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
RealPlayer Ath Check=
mathchk.exe

HKLM\Software\Microsoft\OLE
RealPlayer Ath Check=
mathchk.exe

HKLM\System\CurrentControlSet\Control\Lsa\
RealPlayer Ath Check=
mathchk.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RealPlayer Ath Check=
mathchk.exe

HKCU\Software\Microsoft\OLE
RealPlayer Ath Check=
mathchk.exe

HKCU\System\CurrentControlSet\Control\Lsa
RealPlayer Ath Check=
mathchk.exe


Le ver tente de collecter des adresses électroniques dans les fichiers présents sur le disque dur local.

Les courriels envoyés par MyDoom-AJ ont les caractéristiques suivantes :

Objet choisi parmi les suivants, peut-être tous en majuscules ou tous en minuscules :
Good day
Hello
Server Report
Status
{vide}


Corps de message choisi parmi les suivants :
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
The message contains Unicode characters and has been sent as a binary
attachment.
The original message was included as an attachment.


Nom de fichier joint choisi parmi les suivants avec une extension choisie parmi les suivants (bat cmd exe scr pif zip) :
body
data
doc
document
file
message
readme
text





http://www.aideinfo.com/