Worm.Win32_Mytob-AJ

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-AJ se copie dans le répertoire %System% sous le nom de "taskgmr.exe" et, pour s'exécuter à l'ouverture de session, crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Task Manager
taskgmr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Task Manager
taskgmr.exe


En plus d'ajouter une ligne de signature à la fin du fichier HOSTS, ce ver ajoute dans ce même fichier les réorientations suivantes pour refuser l'accès aux sites Web antivirus et de sécurité correspondants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
-=Copyright (C) 2005-2006 HellBot3 Team All Rights Reserved.=-


Mytob-AJ collecte les adresses électroniques présentes dans les fichiers trouvés sur l'ordinateur infecté et dans le carnet d'adresses Windows.

Les courriels envoyés par Mytob-AJ ont les caractéristiques suivantes :

Objet (choisi parmi les suivants) :
read it immediately
Hello
Congratulations!
Re: Approved document
Re: Your document
Re: Administration
approved
Is that your password?
It's you!?
Bonjour



Expéditeur (choisi parmi les suivants) :
contact@microsoft.com
postmaster@fbi.gov
support@yahoo.com
admin@fbi.gov
contact@cia.gov
contact@fbi.gov
contact@symantec.com


Corps du message (choisi parmi les suivants) :
I have attached your informations.
The original message was included as an attachment.
Your document is attached.
The message contains Unicode characters and has been sent as a binary
attachment.
For more details see the attachment.


Pièce jointe (choisie parmi les suivantes):
document
details
data
important information
your_doc
message
body


Extension du fichier joint (choisie parmi les suivantes):
pif
scr
exe
cmd
bat
zip


Le ver peut aussi se propager en s'envoyant par courriel sous la forme d'une pièce jointe en utilisant le nom de fichier "isyq.scr".

Pour les cas où Mytob-AJ s'envoie sous la forme d'une archive zip, le ver peut parfois créer des doubles extensions avec DOC, TXT ou HTM pour première extension et PIF, SCR, EXE ou ZIP pour deuxième extension.

Le ver peut aussi tenter d'accéder aux ports de surveillance 15 et 256 ou de les paramétrer.




http://www.hackisknowledge.org/