Worm.Win32_Mytob-AX

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-AX se copie dans le répertoire %System% sous le nom de "hostdrvXP.exe" et crée dans le registre les entrées suivantes :

HKCU\Software\Microsoft\OLE
WINTASKMANAGER
hostdrvXP.exe

HKCU\System\CurrentControlSet\Control\Lsa
WINTASKMANAGER
hostdrvXP.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASKMANAGER
hostdrvXP.exe

HKLM\Software\Microsoft\Ole
WINTASKMANAGER
hostdrvXP.exe

HKLM\System\CurrentControlSet\Control\Lsa
WINTASKMANAGER
hostdrvXP.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WINTASKMANAGER
hostdrvXP.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WINTASKMANAGER
hostdrvXP.exe


Note: '%System%' est une variable de localisation. Mytob-AX détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Mytob-AX se copie à la racine sous le noms suivants :
funny_pic.scr
my_photo2005.scr
see_this!!.scr


et injecte un fichier appelé "hellmsn.exe" au même endroit. Ce composant tente de propager le ver en envoyant par Windows Messenger les fichiers SCR mentionnés ci-dessus à tous les contacts en ligne.

Pour refuser l'accès aux sites Web de sécurité correspondants, Mytob-AX ajoute aussi au fichier HOSTS les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com


Mytob-AX peut se propager par courriel et par l'intermédiaire de diverses failles de systèmes d'exploitation comme LSASS (MS04-011).

Le courriel envoyé par Mytob-AX a les caractéristiques suivantes :

Objet :
document
Good day
Hello
Mail Delivery System
Mail Transaction Failed
message
readme
Server Report
Status


Corps du message :
Here are your banks documents.

The original message was included as an attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.

The message contains Unicode characters and has been sent as a binary
attachment.

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.


Le fichier joint contient un nom de base suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.

Mytob-AX collecte des adresses électroniques dans les fichiers présents sur l'ordinateur infecté et dans le Carnet d'adresses Windows. Le ver évite d'envoyer de courriel à l'adresse contenant les éléments suivants :
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
you
your





http://www.echu.org/